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Chapitre 1. Elements de cours sur TCP/IP 

La suite de protocoles TCP/IP 

La suite de protocoles TCP/IP 


Le document presente la suite de protocoles TCP/IP. 

Ce document sert d'introduction a l'ensemble des cours et TP sur les differents protocoles 


1.1. Presentation de TCP/IP 

TCP/IP est l'abreviation de Transmission Control Protocol/Internet Protocol. Ce protocole a ete developpe, en environnement 
UNIX, a la fin des annees 1970 a l'issue d'un projet de recherche sur les interconnexions de reseaux mene par la DARPA 
(Defense Advanced Research Projects Agency) dependant du DoD (Department of Defense) Americain. 

TCP/IP .devenu standard de fait, est actuellement la famille de protocoles reseaux qui gere le routage la plus repandue 

sur les systemes Unix et Windows, et surtout, c'est le protocole de l'lnternet. 

Plusieurs facteurs contribuent a sa popularity : 

Maturite, Ouverture, Absence de proprietaire, Richesse (il fournit un vaste ensemble de fonctionnalites), Compatibility 
(differents systemes d'exploitation et differentes architectures materielles), et le developpement important d'Internet. 

La famille des protocoles TCP/IP est appelee protocoles Internet, et a donne son nom au reseau du meme nom. Leurs 
specifications sont definies dans des documents du domaine public appeles RFC (Request For Comments - Appels a 
commentaires). Ils sont produits par 1'IETF ( Internet Engineering Task Force) au sein de 1'IAB (Internet Architecture Board). 

La RFC 826, par exemple, definit le protocole ARP. 


Chapitre 1 . Elements de cours sur TCP/IP 
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Le datagramme correspond au format de paquet defini par le protocole Internet. Les cinq ou six (sixieme facultatif) premier 
mots de 32 bits represented les informations de controle appelees en-tete. 


Figure 1-1. datagramme IP 


La longueur theorique maximale d'un datagramme IP est de 65535 octets. En pratique la taille maximale du datagramme est 
limitee par la longueur maximale des trames transportees sur le reseau physique. La fragmentation du datagramme (definie 
dans le 2eme mot de 32 bits) devient alors necessaire des que sa taille ne lui permet plus d'etre directement transports dans une 
seule trame physique. Les modules internet des equipements prennent en charge le decoupage et le reassemblage des 
datagrammes. 

Le protocole Internet transmet le datagramme en utilisant l'adresse de destination contenue dans le cinquieme mot de l'en-tete. 
L'adresse de destination est une adresse IP standard de 32 bits permettant d'identifier le reseau de destination et la machine hote 
connectee a ce reseau. 

Dans un reseau TCP/IP, on assigne generalement un nom a chaque hote. Le terme d'hote est pris dans son sens large, c'est a 
dire un "noeud de reseau". Une imprimante, un routeur, un serveur, un poste de travail sont des noeuds qui peuvent avoir un 
nom d'hote, s'ils ont une adresse IP. 


1.2. OSI et TCP/IP 

Bien que le protocole TCP/IP ait ete developpe bien avant que le modele OSI apparaisse, ils ne sont pas totalement 
incompatibles. L'architecture OSI est definie plus rigoureusement, mais ils disposent tous deux d’une architecture en couches. 

Les protocoles TCP et IP ne sont que deux des membres de la suite de protocoles TCP/IP qui constituent le modele DOD 
(modele en 4 couches). Chaque couche du modele TCP/IP correspond a une ou plusieurs couches du modele OSI ( Open 
Systems Interconnection ) defini par 1’ISO ( International Standards Organization ) : 


Figure 1-2. OSI et TCP/IP 


Des relations etroites peuvent etre etablies entre la couche reseau et IP, et la couche transport et TCP. 

TCP/IP peut utiliser une grande variete de protocoles en couche de niveau inferieur, notamment X.25, Ethernet et Token Ring. 
En fait, TCP/IP a ete explicitement concu sans specification de couche physique ou de liaison de donnees car le but etait de 
faire un protocole adaptable a la plupart des supports. 


1.3. La suite de protocoles TCP / IP 

Les protocoles TCP/IP se situent dans un modele souvent nomme "famille de protocoles TCP/IP". 
Les protocoles TCP et IP ne sont que deux des membres de la suite de protocoles IP. 


1.3.1. IP {Internet Protocol, Protocole Internet) 

IP est un protocole qui se charge de I'acheminement des paquets pour tous les autres protocoles de la famille TCP/IP. II 
fournit un systeme de remise de donnees optimise sans connexion. Le terme « optimise » souligne le fait qu’il ne garantit pas 
que les paquets transportes parviennent a leur destination, ni qu’ils soient re£us dans leur ordre d’envoi. . La fonctionnalite de 
somme de controle du protocole ne confirme que l’integrite de l’en-tete IP. Ainsi, seuls les protocoles de niveau superieur sont 
responsables des donnees contenues dans les paquets IP (et de leur ordre de reception). 

Le protocole IP travaille en mode non connecte, c'est-a-dire que les paquets emis par le niveau 3 sont achemines de maniere 
autonome (datagrammes), sans garantie de livraison. 


1.3.2. TCP {Transmission Control Protocol, Protocole de controle de la transmission) 

TCP est probablement le protocole IP de niveau superieur le plus repandu. TCP fournit un service securise de remise des 
paquets. TCP fournit un protocole fiable, oriente connexion , au-dessus d'IP (ou encapsule a Tinterieur d'lP). TCP 
garantit l'ordre et la remise des paquets, il verifie l'integrite de l'en-tete des paquets et des donnees qu'ils contiennent. TCP est 
responsable de la retransmission des paquets alteres ou perdus par le reseau lors de leur transmission. Cette fiabilite fait de 
TCP/IP un protocole bien adapte pour la transmission de donnees basee sur la session, les applications client-serveur et les 
services critiques tels que le courrier electronique. 

La fiabilite de TCP a son prix. Les en-tetes TCP requierent l'utilisation de bits supplementaires pour effectuer correctement la 
mise en sequence des informations, ainsi qu'un total de controle obligatoire pour assurer la fiabilite non seulement de l'en-tete 
TCP, mais aussi des donnees contenues dans le paquet. Pour garantir la reussite de la livraison des donnees, ce protocole exige 
egalement que le destinataire accuse reception des donnees. 
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Ces accuses de reception (ACK) generent une activite reseau supplementaire qui diminue le debit de la transmission des 
donnees au profit de la fiabilite. Pour limiter l'impact de cette contrainte sur la performance, la plupart des hotes n'envoient un 
accuse de reception que pour un segment sur deux ou lorsque le delai imparti pour un ACK expire. 

Sur une connexion TCP entre deux machines du reseau, les messages (ou paquets TCP) sont acquittes et delivres en sequence. 


1.3.3. UDP ( User Datagram Protocol) 

UDP est un complement du protocole TCP qui offre un service de datagrammes sans connexion qui ne garantit ni la remise 
ni l'ordre des paquets delivres. Les sommes de controle des donnees sont facultatives dans le protocole UDP. Ceci permet 
d'echanger des donnees sur des reseaux a fiabilite elevee sans utiliser inutilement des ressources reseau ou du temps de 
traitement. Les messages (ou paquets UDP) sont transmis de maniere autonome (sans garantie de livraison.). 

Le protocole UDP prend egalement en charge l'envoi de donnees d'un unique expediteur vers plusieurs destinataires. 

Ex: TFTP(trivial FTP) s'appuie sur UDP, NT4 utilise UDP pour les Broadcast en TCP— Ip 


1.3.4. ICMP ( Internet Control Message Protocol) 

ICMP : protocole de messages de controle, est un protocole de maintenance. II permet a deux systemes d'un reseau IP de 
partager des informations d'etat et d'erreur. Utilise pour les tests et les diagnostics 

La commande ping utilise les paquets ICMP de demande d'echo et de reponse en echo afin de determiner si un systeme IP 
donne d'un reseau fonctionne. C'est pourquoi l'utilitaire ping est utilise pour diagnostiquer les defaillances au niveau d'un 
reseau IP ou des routeurs. 


1.3.5. RIP (Routing Information Protocol) 

RIP est un protocole de routage dynamique qui permet l'echange d'informations de routage sur un inter-reseau. Chaque routeur 
fonctionnant avec RIP echange les identificateurs des reseaux qu'il peut atteindre, ainsi que la distance qui le separe de ce 
reseau (nb de sauts=nb de routeurs a traverser). Ainsi chacun dispose de la liste des reseaux et peut proposer le meilleur 
chemin. 


1.3.6. ARP ( Address Resolution Protocol) 

Le protocole ARP permet de determiner l'adresse physique (ou MAC) d'un noeud a partir de son adresse IP en effectuant une 
diffusion du type "qui est X2.X2.X2.X2 ? " 


Figure 1-3. Protocoles TCP/IP et OSI 


1.3.7. Fonctionnement general 

Pour designer les informations transmises et leur enveloppe, selon le niveau conceme, on parle de message(ou de flux) entre 
applications, de datagramme (ou segment) au niveau TCP, de paquet au niveau IP, et enfin, de frames au niveau de I'interface 
reseau ( Ethernet ou Token Ring). 

Les protocoles du niveau application les plus connus sont : 

• HTTP (Hyper Text Transfer Protocol) permet l'acces aux documents HTML et le transfert de fichiers depuis un site 
WWW 

• FTP (File Transfer Protocol) pour le transfert de fichiers s'appuie sur TCP et etablit une connexion sur un serveur FTP 

• Telnet pour la connexion a distance en emulation terminal, a un hote Unix/Linux. 

• SMTP (Simple Mail Transfer Protocol) pour la messagerie electronique (UDP et TCP) 

• SNMP (Simple Network Management Protocol) pour l'administration du reseau 

• NFS (Network File System) pour le partage des fichiers Unix/Linux. 


1.4. Les applications TCP-IP 

1.4.1. Modele client/serveur 

Les applications reseaux fonctionnent sur le modele client/serveur. Sur la machine serveur un processus serveur (daemon) 
traite les requetes des clients. Client et serveur dialoguent en echangeant des messages qui contiennent des requetes et des 
reponses. 

Prenons par exemple telnet. 


Figure 1-4. Exemple Telnet 


1.3.3. UDP (User Datagram Protocol) 
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Figure 1-5. Modele client/serveur 


1.4.2. L'adressage des applicatifs : les ports 

Une fois le datagramme transmis a l'hote destinataire, il doit parvenir a l'utilisateur (si le systeme est multi-utilisateur) et a 
l’application visee (si le systeme est multi-taches). 

• sur la machine cliente, l’utilisateur (usager ou programme) effectue une requete vers une machine IP serveur sur le 
reseau. (par exemple telnet host ou ftp host ). Cela se traduit par la reservation d’un port de sortie TCP ou UDP et 
l’envoi d’un paquet IP a la machine serveur. Ce paquet contient un message TCP ou UDP avec un numero de port 
correspondant a l'application demandee sur le serveur. 

• sur le serveur, la requete est receptionnee par le pilote IP, aiguillee vers TCP ou UDP puis vers le port demande. Le 
processus serveur correspondant est a l’ecoute des appels sur ce port (par ex: le daemon telnetd traite les requetes 
telnet, le daemon ftpd traite les requetes ftp). 

• processus client et processus serveur echangent ensuite des messages. 

Des numeros de port (entre 0 et 1023) sont reserves pour les applications « standards : les ports « bien connus » (Well Known 
Ports), ils ont ete assignes par 1’IANA. Sur la plupart des systemes ils peuvent etre seulement employes par des processus du 
systeme (ou root) ou par des programmes executes par les utilisateurs privilegies (liste complete : 
http://www.iana.org/assignments/port-numbers ou dans le fichier /etc/services y compris sous Windows). 

D’autres numeros de port sont disponibles pour les applications developpees par les utilisateurs (1024 a 65535). 


Figure 1-6. Ports applicatifs 


On identifie le protocole de communication entre applications par un numero de protocole et l'application par un numero de 
port. 

Par exemple, les serveurs HTTP dialoguent de maniere traditionnelle par le port 80 : 
http ://www. sncf.com/index.htm <=> http :// www. sncf.com: 80/index.htm 

Les numeros de protocole et de port sont inclus dans le datagramme. 

Une fois la connexion etablie entre le client et le serveur, ceux-ci peuvent s’echanger des informations selon un protocole 
defini selon fapplicatif. Le client soumet des requetes auxquelles repondra le serveur. 

Ce mode de communication s’appuie sur la couche "socket". Cette couche est une interface entre la couche presentation et 
transport. Elle permet la mise en place du canal de communication entre le client et le serveur. 

On peut schematiquement dire qu’un socket fourth un ensemble de fonctions. Ces fonctions permettent a une application 
client/serveur d’etablir un canal de communication entre 2 ou plusieurs machines, qui utilisent un protocole de transport (TCP 
ou UDP) et un port de communication. 


1. 4.2.1. Les ports predefinis a connaitre 


Sendee reseau 

N°de Port 

Type 

Commentaire 

ICMP 

7 

TCP/UDP 

Commandes Pina 

Netstat 

15 

TCP/UDP 

Etat du reseau 

FTP 

21 

TCP 

Transfert de fichiers 

Telnet 

23 

TCP 

Connexion de terminal reseau 

SMTP 

25 

TCP 

Envoi de courrier 

DNS 

53 

TCP/UDP 

Serveurs de noms de domaine 

HTTP 

80 

TCP 

Serveur Web 

Pon3 

110 

TCP 

Reception de courrier 

sftD 

115 

TCP 

Transfert de fichiers securise 

nntD 

119 

TCP 

Service de news 

ntD 

123 

UDP 

Protocole temns reseau 

nbname 

137 

TCP/UDP 

Service de Nom Netbios 

imap 

143 

TCP/UDP 

Protocole d’acces messaaerie Internet 

SNMP 

161 

UDP 

Gestion de reseau 
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Chapitre 2. Elements de cours sur I'adressage IP 


Le document presente I'adressage IP sur un reseau local et en environnement route 
Ce document sert d'introduction a l'ensemble des cours et TP sur les differents protocoles 
Mots cles : Adressage physique, Adresse IP, masque, sous-reseau, routage 


2.1. Adresses physiques (MAC) et adresses logiques (IP) 

2.1.1. Notion d'adresse Physique et de trames 

Deux cartes reseaux qui communiquent s'echangent des messages (suite de bits) appeles trames (frame). Tous les postes 
connectes au meme cable recoivcnt le message, mais seul celui a qui il est destine le lit. 

Comment sait-il que cette trame lui est adressee ? 

Car il reconnait l’adresse de destination, contenue dans la trame comme etant la sienne. 

Comment sait il qui lui a envoye la trame ? 

Car la trame contient aussi l’adresse de l'emetteur. 

Au niveau de la couche liaison, les noeuds utilisent une adresse dite « physique » pour communiquer. L’adresse correspond a 
l’adresse de la carte reseau. On parle d'adresse physique, d'adresse MAC (Medium Access Control) ou d'adresse de couche 2 
(reference au modele OSI). 

Cette adresse est identique pour les reseaux Ethernet, Token Ring et FDDI. Sa longueur est de 48 bits soit six octets (par 
exemple : 08-00-14-57-69-69) definie par le constructeur de la carte. Une adresse universelle sur 3 octets est attribuee par 
l'lELE a chaque constructeur de materiel reseau. Sur les reseaux CCITT X.25, c'est la norme X.121 qui est utilisee pour les 
adresses physiques, qui consistent en un nombre de 14 chiffres. 

L'adresse MAC identifie de maniere unique un noeud dans le monde. Elle est physiquement liee au materiel (ecrite sur la 
PROM), c'est a dire a la carte reseau. 


2.1.2. Notion d'adresse logique et de paquets 

L'adresse d'une carte reseau correspond a l'adresse d'un poste et d'un seul. Or les postes sont generalement regroupes en reseau. 

Comment identifier le reseau auquel appartient le poste ? 

Il faut une adresse logique qui soit independante de l'adresse physique. 

C'est ce que propose le protocole IP et le protocole IPX. 

Pourquoi identifier le reseau ? 

Pour permettre a 2 postes qui ne sont pas connectes au meme reseau de communiquer. 

Cela est impossible avec une adresse MAC, il faut une adresse de niveau superieur, comme nous le verrons un peu plus loin et 
surtout avec le routage IP. 

Le message vehicule par la trame va contenir une autre adresse destinataire dont un des objectifs sera de definir le reseau 
destinataire du message. On appelle le message content! dans une trame un paquet. 

Ce qu’il nous faut savoir a ce stade, c'est qu'une machine sait que le paquet n'est pas destine au reseau si l’adresse reseau de 
destination est differente de la sienne, dans ce cas elle envoie le paquet a une machine speciale (la passerelle ou routeur) dont le 
role est d’acheminer les paquets qui sortent du reseau. 

Cette adresse dite logique du noeud (car elle est attribuee par logiciel a un hote, plus precisement a une carte reseau) contenue 
dans le paquet est l’adresse IP, est definie independamment de toute topologie d’ordinateur ou de reseau. Son format reste 
identique quel que soit le support utilise. 

Les machines (hotes) d'un reseau TCP/IP sont identifiees par leur adresse IP. 

3 - Resolution d'adresses logiques en adresses physiques 

Toute machine sur un reseau IP a done 2 adresses, une adresse MAC et une adresse IP. 

Les processus de niveaux superieurs utilisent toujours l'adresse IP et done lorsqu'un processus communique avec un autre 
processus, il lui envoie un message dont l'adresse destinataire est une adresse IP, mais pour pouvoir atteindre la carte reseau du 
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destinataire, il faut connaitre son adresse MAC. Le role du protocole ARP (Adress Resolution Protocol) est d'assurer la 
correspondance entre l'adresse IP et l'adresse MAC. 


2.1.3. Attribution d'une adresse IP Internet 

Les reseaux connectes au reseau Internet mondial doivent obtenir un identificateur de reseau officiel aupres du bureau de 
l'lcann de l'Inter-NIC (Network Information Center) afin que soit garantie l'unicite des identificateurs de reseau IP sur toute la 
planete. Une adresse est attribute au reseau prive dont Fadministrateur en fait la demande aupres du NIC (http://www.nic.fr). 

Apres reception de l'identificateur de reseau, Fadministrateur de reseau local doit attribuer des identificateurs d'hote uniques 
aux ordinateurs connectes au reseau local. Les reseaux prives qui ne sont pas connectes a Internet peuvent parfaitement utiliser 
leur propre identificateur de reseau. Toutefois, l'obtention d'un identificateur de reseau valide de la part du centre InterNIC leur 
permet de se connecter ulterieurement a Internet sans avoir a changer les adresses des equipements en place. 

Chaque noeud (interface reseau) relie a l'Internet doit posseder une adresse IP unique. 


2.2. Adressage IP 

2.2.1. Structure des adresses IP 

Les adresses IP sont des nombres de 32 bits qui contiennent 2 champs : 

• Un identificateur de reseau (NET-ID): tous les systemes du meme reseau physique doivent posseder le meme 
identificateur de reseau, lequel doit etre unique sur l'ensemble des reseaux geres. 

• Un identificateur d'hote (HOST-ID): un noeud sur un reseau TCP/IP est appele hote, il identifie une station de 
travail, un ser\’eur, un routeur ou tout autre peripherique TCP/IP au sein du reseau. 

La concatenation de ces deux champs constitue une adresse IP unique sur le reseau. 

Pour eviter d'avoir a manipuler des nombres binaires trop longs, les adresses 32 bits sont divisees en 4 octets. Ce format est 
appele la notation decimate pointee, cette notation consiste a decouper une adresse en quatre blocs de huit bits. Chaque bloc 
est ensuite converti en un nombre decimal. 

Chacun des octets peut etre represente par un nombre de 0 a 255. 

Ex: 130.150.0.1 

Exemple : 

L'adresse IP 10010110110010000000101000000001 est d'abord decoupee en quatre blocs : 

100101 10. 1 1001000.00001010.00000001 puis, chaque bloc est converti en un nombre decimal pour obtenir finalement 

150.200.10.1 

= >4 nombres entiers (entre 0 et 255) separes par des points. 

= >4 octets 

L'ecriture avec les points est une convention, le codage en machine est binaire. 


2.2.2. Classes d'adresses 

La communaute Internet a defini trois classes d'adresses appropriees a des reseaux de differentes tailles. Il y a, a priori, peu de 
reseaux de grande taille (classe A), il y a plus de reseaux de taille moyenne (classe B) et beaucoup de reseaux de petite taille 
(classe C). La taille du reseau est exprimee en nombre d'hotes potentiellement connectes. 

Le premier octet d'une adresse IP permet de determiner la classe de cette adresse. 

Les adresses disponibles (de 0.0. 0.0 a 255.255.255.255) ont done ete decoupees en plages reservees a plusieurs categories de 
reseaux. 

Pour eviter d'avoir recours aux organismes NIC a chaque connexion d'un nouveau poste, chaque societe se voit attribuer une 
plage d'adresse pour son reseau. Le nombre d'adresses disponibles dans chaque plage depend de la taille du reseau de la 
societe. Les grands reseaux sont dits de classe A (IBM, Xerox , DEC, Hewlett-Packard), les reseaux de taille moyenne sont de 
classe B (Microsoft en fait partie !), et les autres sont de classe C. 


Figure 2-1. Classes d'adresses 


Par exemple, l'adresse d'un poste appartenant a un reseau de classe A est done de la forme : 
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OAAAAAAA.xxxxxxxx.xxxxxxxx.xxxxxxxx, avec A fixe par le NIC et x quelconque. 

Exemple 

IBM a obtenu l'adresse 9 (en fait, on devrait dire 9.X.X.X, mais il est plus rapide de n'utiliser que la valeur du premier octet). 9 
est bien de classe A car 9d=00001001b 

Cela signifie que chaque adresse IP du type 00001 00 l.xxxxxxxx.xxxxxxxx.xxxxxxxx, avec x prenant la valeur 0 ou 1, fait 
partie du reseau d'lBM. 

Malgre ces possibilites d'adressage, la capacite initialement prevue est insuffisante et sera mise a defaut d'ici quelques annees. 
L'IPNG ( Internet Protocol Next Generation) ou Ipv6 devrait permettre de resoudre ces difficultes en utilisant un adressage sur 
16 octets note en hexadecimal. 

2.2.3. Identification du reseau 

L'adresse IP se decompose, comme vu precedemment, en un numero de reseau et un numero de noeud au sein du reseau. 

Afin de s'adapter aux differents besoins des utilisateurs, la taille de ces 2 champs peut varier. 

On definit ainsi les 5 classes d’adresses notees A a E: 


Figure 2-2. Classes d'adresses 


ex. : Soit l'adresse IP suivante : 142.62.149.4 
142 en decimal = 10001 1102 en binaire 

Le mot binaire commence par les bits 102 done il s'agit d'une adresse de classe B. Ou, plus simple : 142 est compris entre 128 
et 191. 

S'agissant d’une adresse de classe B, les deux premiers octets (a et b) identifient le reseau. Le numero de reseau est done : 
142.62.0.0 

Les deux derniers octets (c et d) identifient 1’equipement hote sur le reseau. 

Linalement, cette adresse designe l’equipement numero 149.4 sur le reseau 142.62. 


2.2.4. Adresses reservees 

Les adresses reservees ne peuvent designer une machine TCP/IP sur un reseau. 

L'adresse d'acheminement par defaut (route par defaut.) est de type O.X.X.X. Tous les paquets destines a un reseau non 
connu, seront diriges vers l'interface designee par 0.0.0.0, 

NB : 0.0.0.0 est egalement l'adresse utilisee par une machine pour connaitre son adresse IP durant une procedure d'initialisation 
(DHCP). 

L'adresse de bouclage (loopback): l'adresse de reseau 127 n'est pas attribute a une societe, elle est utilisee comme adresse de 
bouclage dans tous les reseaux. Cette adresse sert a tester le fonctionnement de votre carte reseau. Un ping 127.0.0.1 doit 
retourner un message correct. Le paquet envoye avec cette adresse revient a l'emetteur. 

Toutes les adresses de type 127.X.X.X ne peuvent pas etre utilisees pour des hotes. La valeur de 'x' est indifferente. On utilise 
generalement 127.0.0.1 

L'adresse de reseau est une adresse dont tous les bits d'hote sont positionnes a 0 (ex 128.10.0.0 adresse de reseau du reseau 
128.10 de classe B). Elle est utilisee pour designer tous les postes du reseau. On utilise cette adresse dans les tables de routage. 

Les noms de reseaux de type : 

1. X.Y.Z.O (de 192.0.0.0 a 223.255.255.0) sont dits de classe C 

• X.Y.0.0 (de 128.0.0.0 a 191.255.0.0) sont dits de classe B : 

• X. 0.0.0. (de 1.0. 0.0 a 126.255.255.254) sont dits de classe A : 

1. de 224.0.0.0 a 254.0.0.0 : adresses reservees pour des besoins futurs 

2 . 

L'adresse de diffusion est une adresse dont tous les bits d'hote sont positionnes a 1 (ex : 128.10.255.255 adresse de diffusion 
du reseau 128 de classe B ). 

Elle est utilisee pour envoyer un message a tous les postes du reseau. 


2.2.3. Identification du reseau 
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Les adresses "privees" 

Les adresses suivantes (RFC 1918) peuvent egalement etre librement utilisees pour monter un reseau prive : 
A 10.0.0.0 

B 172.16.0.0 a 172.31.255.255 
C 192.168.0.0 a 192.168.255.255 

Aucun paquet provenant de ces reseaux ou a destination de ces reseaux, ne sera route sur l'lnternet. 


Figure 2-3. Recapitulate Classes d'adresses 


Le role du masque de reseau (netmask) est d'identifier precisement les bits qui concernent le N° de reseau d'une adresse (il 
"masque" la partie hote de l'adresse). 

Un bit a 1 dans le masque precise que le bit correspondant dans l'adresse IP fait partie du N° de reseau ; a l'inverse, un bit a 0 
specific un bit utilise pour coder le N° d'hote. 

Ainsi, on a un masque dit "par defaut" qui correspond a la classe de ce reseau. 

Exemple: dans un reseau de classe A sans sous-reseau, le premier octet correspond a l'adresse du reseau done le netmask 
commence par 11111111 suivi de zeros soit 255.0.0.0. 

D'oii le tableau suivant : 


Classe 

Netmask 

A 

255.0.0.0 

B 

255.255.0.0 

C 

255.255.255.0 


Ex : Si mon adresse IP est 149.127.1.1 10 alors je travaille avec une adresse de classe B. Mon N° de reseau est 149.127.0.0 et 
mon masque 255.255.0.0. 


2.3. Les sous-reseaux 

2.3.1. Pourquoi creer des sous reseaux ? 

Les avantages de la segmentation en sous-reseau sont les suivants : 

1. Utilisation de plusieurs media (cables, supports physiques). La connexion de tous les noeuds a un seul support de 
reseau peut s'averer impossible, difficile ou couteuse lorsque les noeuds sont trop eloignes les uns des autres ou qu'ils 
sont deja connectes a un autre media. 

2. Reduction de l'encombrement. Le trafic entre les noeuds repartis sur un reseau unique utilise la largeur de bande du 
reseau. Par consequent, plus les noeuds sont nombreux, plus la largeur de bande requise est importante. La repartition 
des noeuds sur des reseaux separes permet de reduire le nombre de noeuds par reseau. Si les noeuds d'un reseau de 
petite taille communiquent principalement avec d'autres noeuds du meme reseau, l'encombrement global est reduit. 

3. Economise les temps de calcul. Les diffusions (paquet adresse a tous) sur un reseau obligent chacun des noeuds du 
reseau a reagir avant de l'accepter ou de la rejeter. 

4. Isolation d'un reseau. La division d'un grand reseau en plusieurs reseaux de taille inferieure permet de limiter 
l'impact d'eventuelles defaillances sur le reseau concerne. II peut s'agir d'une erreur materielle du reseau (une 
connexion 

5. Renforcement de la securite. Sur un support de diffusion du reseau comme Ethernet, tous les noeuds ont acces aux 
paquets envoyes sur ce reseau. Si le trafic sensible n'est autorise que sur un reseau, les autres hotes du reseau n'y ont 
pas acces. 

6. Optimisation de l'espace reserve a une adresse IP. Si un numero de reseau de classe A ou B vous est assigne et que 
vous disposez de plusieurs petits reseaux physiques, vous pouvez repartir l'espace de l'adresse IP en multiples 
sous-reseaux IP et les assigner a des reseaux physiques speciftques. Cette methode permet d'eviter 1'utilisation de 
numeros de reseau IP supplementaires pour chaque reseau physique. 


2.3.2. Masque de sous-reseau 

Les masques de sous-reseaux ( subnet mask ) permettent de segmenter un reseau en plusieurs sous-reseaux. On utilise alors 
une partie des bits de l'adresse d'hote pour identifier des sous-reseaux. 

L'adressage de sous-reseau permet de definir des organisations internes de reseaux qui ne sont pas visibles a l'exterieur de 
l'organisation. Cet adressage permet par exemple 1'utilisation d'un routeur externe qui fournit alors une settle connexion 
Internet. 
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Toutes les machines appartenant a un sous-reseau possedent le meme numero de reseau. 

On utilise le meme principe que pour le masque par defaut sur l'octet de la partie hote auquel on va prendre des bits. Ainsi, le 
masque de sous-reseau d'une adresse de classe B commencera toujours par 255.255.xx.xx 

Pour connaitre l'adresse du sous-reseau auquel une machine appartient, on effectue en realite un ET logique entre l'adresse de 
la machine et le masque. 

Adresse : 200.100.40.33 11001000.01100100.00101000.00100001 
Masque : 255.255.255.224 11111111.11111111.11111111.11100000 
Operation ET 11001000.01100100.00101000.00100000 
=> La machine appartient au sous-reseau : 200.100.40.32 

Nous voyons dans ce deuxieme exemple que nous avons pris 3 bits sur le dernier octet de notre adresse. Ces 3 bits vont nous 
permettre de construire plusieurs sous-reseaux. 

Ex : adresse : 192.0.0.131 

Masque : 255.255.255.192 

Conversion de l'adresse en binaire : 11000000 00000000 00000000 10000011 
Conversion du masque en binaire : 11111111 11111111 11111111 11000000 

La machine appartient au sous-reseau 192.0.0.192 et a l'adresse 11=3 

Pour des raisons de commodite, on preferera reserver un octet entier pour coder le numero de sous reseau. De meme la 
theorie ne nous oblige pas a prendre les bits contigus d'un masque, meme si c'est ce que nous utiliserons en pratique. 

Important : pour parer a d’eventuels problemes de routage et d’adressage, tous les ordinateurs d’un reseau logique doivent 
utiliser le meme masque de sous-reseau et le meme identificateur de reseau. 

2.3.3. Sous-reseaux 

2.3. 3.1. Nombre de sous-reseaux 

Le nombre theorique de sous-reseaux est egal a 2n, n etant le nombre de bits a 1 du masque, utilises pour coder les 
sous-reseaux. 

Exemple : 

Adresse de reseau : 200.100.40.0 
Masque : 255.255.255.224 

224 = 1 1 100000 done 3 bits pour le N° de sous-reseau et 5 bits pour l’hote. 

Le nombre de sous-reseau est done de : 23 =8. 

Remarque : la RLC 1860 (remplacee par la RLC 1878) stipulait qu’un numero de sous reseau ne peut etre compose de bits tous 
positionnes a zero ou tous positionnes a un. 

Autrement dit, dans notre exemple, on ne pouvait pas utiliser le sous-reseau 0 et le sous-reseau 224. Le premier nous donnant 
une adresse de sous-reseau equivalente a l’adresse du reseau soit 200.100.40.0. Le deuxieme nous donnant une adresse de 
sous-reseau dont l’adresse de diffusion se confondrait avec l’adresse de diffusion du reseau. Le nombre de sous-reseaux aurait 
alors ete de seulement ; 2 A 5-2 =6. 

11 est done important de savoir quelle RLC est utilisee par votre materiel pour savoir si les adresses de sous-reseau composees 
de bits tous positionnes a zero ou tous positionnes a un sont prises en compte ou non. 

2.3. 3.2. Adresse des sous-reseaux 

II faut done maintenant trouver les adresses des sous-reseaux valides en utilisant les bits a 1 du masque. 

Pour l’exemple precedent, il faut utiliser les 3 premiers bits: 

000 00000 = 0 
001 00000 = 32 
010 00000 = 64 


2.3.3. Sous-reseaux 
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Oil 00000 = 96 
100 00000 = 128 
101 00000 = 160 

110 00000 = 192 

111 00000 = 224 

On constate que le pas entre 2 adresses de sous-reseau est de 32 = 25 correspondant an nombre theorique d'hotes par 
sous-reseau. 

2.3. 3.3. Adresse de diffusion d'un sous-reseau 

II faut mettre tous les bits de la partie hote a 1. 

Cherchons l'adresse de diffusion des sous reseaux precedents. 

• Avec le masque 255.255.255.224 
Pour le sous-reseau 200.100.40.32 

32 = 001 00000 done l'adresse de diffusion est 001 11111 = 63. 

L'adresse de diffusion complete est done 200.100.40.63 

Pour le sous-reseau 200.100.40.64 l'adresse de diffusion est 200.100.40.95 

...ETC ... 

Avec le masque 255.255.255.129 

Pour le sous-reseau 200.100.40.1 l'adresse de diffusion est 200.100.40.127 
Porn- le sous-reseau 200.100.40.128 l'adresse de diffusion est 200.100.40.254 

Pourquoi 254 et pas 255 car avec 255 le dernier bit serait a 1 done on serait dans le sous-reseau 10000001 , en decimal 129. 

2.3. 3.4. Nombre de postes d'un sous-reseau 

Le nombre de postes est egal a 2n, n etant le nombre de bits a 0 du masque permettant de coder I'hote. A ce chiffre il faut 
enlever 2 numeros reserves : 

• tous les bits a zero qui identifie le sous-reseau lui-meme. 

• tous les bits a 1 qui est l'adresse de diffusion pour le sous-reseau. 

Exemples : 

Soit le masque 255.255.255.224 

224 = 11100000 done 3 bits pour le N° de sous-reseau et 5 bits pour I'hote 
le nombre de poste est done de : 2 A 5 -2 =30 postes. 

De meme, avec le masque 255.255.255.129 le nombre de postes sera de 2 A 6-2 = 62 postes 

2.3.3.5. Adresse de poste sur un sous-reseau 

L'adresse de poste sur un sous-reseau subnette " normalement " ne pose pas de probleme, elle est comprise dans la fourchette 
[adresse de sous-reseau + 1, adresse de diffusion du sous-reseau - 1] soit dans l'exemple precedent : 

[200.100.400.33,200.100.40.62] pour le sous-reseau 200.100.40.32 

[200.100.400.65,200.100.40.94] pour le sous-reseau 200.100.40.64. 

Par exemple, au lieu d'allouer un identifie ateur de reseau de classe B, dans une entreprise comportant 2000 hotes, InterNic 
alloue une plage sequentielle de 8 identificateurs de reseau de classe C. Chaque identificateur de reseau de classe C gere 254 
hotes pour un total de 2 032 identificateurs d'hote. 

Alors que cette technique permet de conserver des identificateurs de reseau de classe B, elle cree un nouveau probleme. 

En utilisant des techniques de routage conventionnelles, les routeurs d'lnternet doivent desormais comporter huit entrees (en 
RAM) dans leurs tables de routage pour acheminer les paquets IP vers l'entreprise. La technique appelee CIDR (Classless 
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Inter-Domain Routing) permet de reduire les huit entrees utilisees dans l'exemple precedent a une seule entree correspondant a 
tous les identificateurs de reseau de classe C utilises par cette entreprise. 

Soit les huit identificateurs de reseau de classe C commencant par l'identificateur de reseau 220.78.168.0 et se terminant par 
l'identificateur de reseau 220.78.175.0, l'entree de la table de routage des routeurs d'lnternet devient : 


Identificateur 

de reseau 

Masque de 

sous reseau 

Masque de sous reseau 

(en binaire) 

220.78.168.0 

255.255.248.0 

liiiiin liiiiin mu ooooooooooo 


En effet 168 en binaire donne : 10101000 
et 175 donne : 10101111 
la partie commune porte bien sur les 5 lers bits 
d'oit le masque : 11111000 

Dans l'adressage de sur-reseaux, la destination d'un paquet est determinee en faisant un ET logique entre l'adresse IP de 
destination et le masque de sous-reseau de l'entree de routage. En cas de correspondance avec l'identificateur de reseau, la 
route est utilisee. Cette procedure est identique a celle definie pour l'adressage de sous-reseaux. 

La notation CIDR definit une convention d'ecriture qui specific le nombre de bits utilises pour identifier la partie reseau (les 
bits a 1 du masque). 

Les adresses IP sont alors donnees sous la forme : 

142.12.42.145 / 24 <=> 142.12.42.145 255.255.255.0 
153.121.219.14 / 20<=> 153.121.219.14 255.255.240.0 

Dans cette ecriture les nombres 24 et 20 represented le nombre de bits consacres a la codification du reseau (et sous reseau). 
Remarque : Les RFC 1518 et 1519 definissent le CIDR (Classless Inter-Domain Routing). 


2.4. Le routage 

2.4.1. Recherche de l'adresse physique 

La communication entre machines ne peut avoir lieu que lorsque celles-ci connaissent leurs adresses physiques (MAC). Pour 
envoyer les paquets IP vers les autres noeuds du reseau, les noeuds qui utilisent les protocoles TCP/IP traduisent les adresses 
IP de destination en adresses MAC. L'application emettrice ajoute son adresse IP au paquet et l'application receptrice peut 
utiliser cette adresse IP pour repondre. 

Sur les reseaux a diffusion, tels qu'Ethernet et Token-Ring, le protocole IP nomme ARP ( Address Resolution Protocol) fait le 
lien entre les adresses IP et les adresses physiques (ou MAC). 

Quand un poste cherche l'adresse physique correspondant a l'adresse IP qu'il connait, le protocole ARP se met en oeuvre et 
realise les taches suivantes : 

1. realisation d'un appel broadcast sur le reseau en demandant a qui correspond l'adresse IP a resoudre : il diffuse un 
paquet ARP qui contient l'adresse IP du destinataire 

2. les machines du reseau comparent l'adresse demandee a leur adresse et le noeud correspondant renvoie son adresse 
physique au noeud qui a emis la requete. 

3. stockage de l'adresse physique lorsque le destinataire repond dans le cache ARP de la machine 

Pour accelerer la transmission des paquets et reduire le nombre des requetes de diffusion qui doivent etre examinees par tous 
les noeuds du reseau, chaque noeud dispose d'un cache de resolution d'adresse. Chaque fois que le noeud diffuse une requete 
ARP et recoit une reponse, il cree une entree dans une table de correspondance stockee en memoire cache. Cette entree assigne 
l'adresse IP a l'adresse physique. 

Lorsque le noeud envoie un autre paquet IP, il cherche l'adresse IP dans son cache. S'il la trouve, il utilise alors l'adresse 
physique correspondante pour son paquet. 

Le noeud diffuse une requete ARP seulement s'il ne trouve pas l'adresse IP dans son cache. 


2.4. Le routage 
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2.4.2. Principe 

Le routage dans Internet est similaire au mecanisme d'adressage du courrier. 

Si vous adressez une lettre a un destinataire aux USA, a Los Angeles, dans l'etat de Californie. Le bureau de poste de Belfort 
reconnaitra que cette adresse n'est pas locale et transmettra le courrier au bureau fran 9 ais des PTT qui le remettra au service du 
mail US. Celui-ci s'en remettra a son bureau de la Californie. qui le transmettra au bureau de Los Angeles, qui connait la 
localisation qui correspond a l’adresse dans la ville. 

Avantages du systeme : 

1. le bureau de poste local n’a pas a connaitre toutes les adresses du monde 

2. le chemin suivi peut etre variable : chaque operateur sait juste a qui remettre le courrier. 

Le routage dans un reseau est identique : 

Internet en entier est compose de reseaux autonomes qui s'occupent en interne de l’adressage entre leurs hotes. Ainsi, tout 
datagramme arrivant sur un hote quelconque du reseau destination sera achemine a bon port par ce reseau seul. 

Quand tous les hotes participent au meme reseau, chacun d’eux peut adresser des paquets aux autres sans difficulte. Par contre, 
si le destinataire est situe sur un autre reseau, le probleme est de savoir ou et a qui adresser le paquet puisque l’hote expediteur 
ne « voit » pas le destinataire. 

On appelle passerelle (dans la terminologie TCP/IP) ou routeur un equipement qui fait le lien entre differents reseaux ou entre 
sous-reseaux. Ex de passerelle: un ordinateur equipe de plusieurs adaptateurs reseau peut etre relie avec chacune d’elle a 
un reseau physiquement separe. 

Les paquets d’un reseau qui sont adresses a l’autre reseau doivent passer par la passerelle. D'ou la necessite pour chaque hote de 
connaitre, sur son reseau, l'adresse IP d'un ou de plusieurs routeurs qui servent de passage vers le ou les reseaux qu'ils ne 
connait pas. 

Mettre en place le routage consiste a configurer chaque hote du reseau de fa£on a ce qu'il sache vers quelle adresse de son 
propre reseau il doit adresser un paquet qui concerne un autre reseau (ou sous-reseau). Ces destinataires intermediaires sont 
des routeurs qui prennent en charge le paquet. 

Les hotes pouvant etre nombreux, bien souvent chacun ne connait que l’adresse d’une passerelle (routeur) par defaut et ce sera 
cette passerelle qui « connaitra » les adresses des autres routeurs. 


2.4.3. Acheminement des paquets TCP-IP 

Voici comment un hote expediteur se comporte pour adresser un paquet a un destinataire : 

1 . II extrait l'adresse de reseau, voire de sous reseau de l'adresse du destinataire et la compare a sa propre adresse de 
reseau ou de sous reseau. S'il s'agit du meme reseau, le paquet est expedie directement au destinataire en mettant en 
oeuvre ARP. 

2. S'il ne s'agit pas du meme reseau, l'expediteur cherche dans sa table de routage une correspondance destinataire final / 
destinataire intermediaire (routeur). II cherche, en quelque sorte, sur son reseau, un hote capable de servir de facteur 
vers un autre reseau. 

3. L'expediteur cherche d’abord a trouver dans sa table de routage locale l’adresse IP complete du destinataire, 

4. s'il ne la trouve pas il cherche l’adresse du sous reseau du destinataire, 

5. s'il ne la trouve pas, il cherche enfin l’adresse du reseau, 

6. s’il ne trouve aucune correspondance, l'expediteur cherche dans sa table l'adresse d'une passerelle a utiliser par defaut, 
(route 0.0. 0.0) 

7. s'il echoue la encore, le paquet, decidement bien encombrant, est supprime. 

8. Si l'une de ces recherches aboutit, la machine emettrice construit le paquet avec l'adresse IP du destinataire hors 
reseau. Elle l'encapsule dans une trame ayant comme adresse MAC de destination l'adresse MAC du routeur. La 
couche 2 du routeur lit la trame qui lui est adressee et la transmet a la couche 3 IP. Celle-ci recupere le paquet et 
s'apcrcoit que le paquet ne lui est pas adresse, elle consulte sa table de routage, decide sur quelle nouvelle interface 
reseau le paquet doit etre transmis, encapsule le paquet dans une nouvelle trame, et ainsi de suite de passerelle en 
passerelle jusqu'a destination. 


2.4.4. Les tables de routage 

Les reseaux IP sont interconnectes par des routeurs IP de niveau 3 (appeles abusivement en terminologie IP des gateways ou 
passerelles). 

Chaque station IP doit connaitre le routeur par lequel il faut sortir pour pouvoir atteindre un reseau exterieur, c'est-a-dire avoir 
en memoire une table des reseaux et des routeurs. Pour cela elle contient une table de routage locale. 

Dans une configuration de routage statique, une table de correspondance entre adresses de destination et adresses de routeurs 
intermediaires est completee « a la main » par l’administrateur, on parle de table de routage. 
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Figure 2-4. table de routage 


Reseau 1 — > Routeur 1 
Reseau 2 — > Routeur 1 


Reseau n — > Routeur p 

La table de routage comporte les adresses des passerelles permettant d'atteindre les reseaux de destination. La commande 
Route permet de manipuler le content! de la table de routage. 

Exemple de table de routage : 


Destination 

Mcisaue de Sous reseau 

Passerelle 


127.0.0.1 

255.255.255.0 

127.0.0.1 

voie de bouclase 

142.62.10.0 

255.255.255.0 

142.62.10.99 

sortie de la passerelle vers le sous-reseau 10 

142.62.20.0 

255.255.255.0 

142.62.20.99 

sortie de la passerelle vers le sous-reseau 20 


2.4.5. Acheminement Internet 

2.4.5. 1. Domaine d'acheminement 

Les echanges entre passerelles de chaque domaine de routage font l'objet de protocoles particuliers : EGP (Exterior Gateway 
Protocol) et BGP (Border Gateway Protocol) plus recent. Ces protocoles envoient les paquets vers des destinations en dehors 
du reseau local vers des reseaux externes (Internet, Extranet...). 


2.4.5.2. Principe du choix d'une voie d'acheminement 

1. Si l'hote de destination se trouve sur le reseau local, les donnees sont transmises a l'hote destination 

2. Si l'hote destination se trouve sur un reseau a distance, les donnees sont expedites vers une passerelle locale qui route 
le paquet vers une autre passerelle et ainsi de suite de passerelle en passerelle jusqu'a destination. 

La commande Tracert permet de suivre a la trace le passage de routeur en routeur pour atteindre un hote sur le reseau. La 
commande Ping permet de verifier la fiabilite d'une route donnee. 


2.4.6. Routage dynamique 

Les protocoles d'echange dynamique des tables de routage IP sur un reseau local sont RIP (Routing Information Protocol ) 
et le protocole OSPF (Open Shortest Path First). Dans une configuration de routage dynamique, un protocole (RIP ou 
OSPF) est mis en oeuvre pour construire dynamiquement les chemins entre routeurs. 

Le protocole RIP permet a un routeur d'echanger des informations de routage avec les routeurs avoisinants. Des qu'un routeur 
est informe d'une modification quelconque de la configuration sur les reseaux (telle que l'arret d'un routeur), il transmet ces 
informations aux routeurs avoisinants. Les routeurs envoient egalement des paquets de diffusion generate RIP periodiques 
contenant toutes les informations de routage dont ils disposent. Ces diffusions generates assurent la synchronisation entre tous 
les routeurs. 

Avec un protocole comme RIP, on peut considerer que les tables de routages des routeurs et passerelles sont constituees et 
mises a jour automatiquement. 


Chapitre 3. Elements de cours sur ARP 


Resume sur ARP 


3.1. Le protocole ARP 

L'adresse Ethernet est une adresse unique sur 48 bits (6 octets) associee a la carte Ethernet. Lorsqu'un noeud N1 du reseau 
TCP/IP X1.X1.X1.X1 veut emettre un paquet TCP/IP (dans une trame Ethernet) vers une machine N2 d’adresse IP 
(X2.X2.X2.X2), il faut qu’il connaisse l'adresse Ethernet (E2.E2.E2.E2.E2.E2). Pour realiser ^'association @ip / @ Ethernet 
l'emetteur N1 utilise le protocole ARP dont le principe est le suivant : 

L'emetteur envoie une trame Ethernet de diffusion (broadcast) (ie @destinataire toute a 1) contenant un message ARP 
demandant 

qui est X2.X2.X2.X2 ? 


Chapitre 3. Elements de cours sur ARP 
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Figure 3-1. Trame Ethernet contenant une requete ARP 


Toutes les machines IP du reseau local recoivcnt la requete. N2 qui a l'adresse X2.X2.X2.X2 se reconnalt, et elle repond a N1 
ie XI. XI. XI. XI (dans une trame destinee a E1.E1.E1.E1.E1.E1) 


Figure 3-2. Trame Ethernet contenant une reponse ARP 


Chaque machine maintient en memoire une table cachee de correspondances @ip / @ Ethernet pour eviter trop de requetes 
ARP. Chaque entree de la table a une duree de vie limitee. Voici pour exemple ce que donne le programme tcpdump avec la 
commande ping 192 . 168 . 1 . 2 a partir de la machine uranus alors que la table ARP de l'hote uranus est vide : 


13 : 17 : 14 . 490500 
13 : 17 : 14 . 490500 
13 : 17 : 14 . 490500 
13 : 17 : 14 . 490500 
13:17:15.500500 
13:17:15.500500 


arp who-has 192.168.1.2 tell uranus . planete . 
arp reply 192.168.1.2 is-at 0 : 40 : 33 : 2d: b5 : dd 
uranus.planete.net > 192.168.1.2: icmp: echo 
192.168.1.2 > uranus.planete.net: icmp: echo 
uranus.planete.net > 192.168.1.2: icmp: echo 
192.168.1.2 > uranus.planete.net: icmp: echo 


net 

request 

reply 

request 

reply 


Explications : 

Ligne 1, uranus demande qui est 192.168.1.2 (requete ARP) Le paquet est diffuse a tous les hotes du reseau. 
Ligne 2 reponse ARP : je suis a l'adresse Ethernet 00:40:33:2d:b5:dd 
Lignes 3 a 6 : echanges de paquets ICMP entre les 2 hotes. 


Chapitre 4. L'adressage IP v6 


L'adressage IPv4 sur 32 bits se revelant insuffisant (saturation prevue pour 2010) avec le developpement 
d'Internet, 1'IETF en 1998 a propose le standard IPv6 (ou Ipng - ng pour "Next Generation", RFC 2460), afin 
de permettre l'adressage d'au moins un milliard de reseaux, soit quatre fois plus qu'IPv4. 

IPv6 possede un nouveau format d'en-tete IP, une infrastructure de routage plus efftcace, et un espace d'adressage plus 
important. Pour permettre le deployment d'IPv6 de la maniere la plus flexible possible, la compatibility: avec IPv4 est garantie. 


4.1. Caracteristiques 

- les adresses IPv6 sont codees sur 128 bits (1 milliard de reseaux). 

- le principe des numeros de reseaux et des numeros d'hotes est maintenu. 

- IPv6 est concu pour interoperer avec les systemes IPv4 (transition douce prevue sur 20 ans). L'adresse IPv6 peut contenir une 
adresse IPv4 : on place les 32 bits de IPv4 dans les bits de poids faibles et on ajoute un prefixe de 96 bits ( 80 bits a 0 suivis de 
16 bits a 0 ou 1) 

- IPv6 utilise un adressage hierarchique (identification des differents reseaux de chaque niveau) ce qui permet un routage 
plus efficace. 

- IPv6 prevu pour les systemes mobiles : auto-configuration, notion de voisinage (neighbor). 

- IPv6 permet l'authentification et le chiffrement dans l'en-tete des paquets, ce qui permet de securiser les echanges. En 
effet IP v.6 integre IPSec (protocole de creation de tunnel IP avec chiffrement), qui garantit un contexte securise par defaut. 

- IPv6 integre la qualite de service : introduction de flux etiquetes (avec des priorites) 

- IPv6 prend mieux en charge le trafic en temps reel (garantie sur le delai maximal de transmission de datagrammes sur le 
reseau). 


4.2. Types d'adresses 

IPv6 supporte 3 types d'adresses: Unicast, Anycast et Multicast. 

Anycast est un nouveau type d'adressage. II identifie qu'un noeud, parmi un groupe de noeuds, doit recevoir l'information. 
L'interface de destination doit specifiquement etre configuree pour savoir qu'elle est Anycast. 

La notion de diffusion (broadcast) disparait dans IPv6. 
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4.3. Representation des adresses 

Une adresse IPv6 s'exprime en notation hexadecimale avec le separateur "deux-points". 

Exemple d’adresse : 

5800:10C3:E3C3:F1AA:48E3:D923:D494:AAFF 

Dans IPv6 les masques sont exprimes en notation CIDR. 

II y a 3 fagons de representer les adresses IPv6 

forme preferee : 

"x:x:x:x:x:x:x:x" ou x represente les valeurs hexadecimales des 8 portions de 16 bits de l’adresse. Exemple: 
3ffe:0104:0103:00a0:0a00:20ff:fe0a:3ff7 

forme abregee : 

Un groupe de plusieurs champs de 16 bits mis a 0 peut etre remplace par la notation 
La sequence ne peut apparaitre qu'une seule fois dans une adresse. 

Exemple: 

5f06:b500:89c2:al00::800:200a:3ff7 

ff80::800:200a:3ff7 

::1 

forme mixte : 

Lorsqu’on est dans un environnement IPv4 et IPv6, il est possible d’utiliser une representation textuelle de la forme: 
"x:x:x:x:x:x:d.d.d.d", oil les ’x’ sont les valeurs hexadecimales des 6 premiers champs de 16 bits et les ’d’ sont les valeurs 
decimales des 4 derniers champs de 8 bits de l’adresse. 

Exemple: 

:: 137. 194. 168.93 

4.4. Allocation de I'espace d'adressage 

Le type d'adresse IPv6 est indique par les premiers bits de l'adresse qui sont appeles le "Prefixe de Format" (Format Prefix). 
L'allocation initiale de ces prefixes est la suivante: 


Allocation 

Prefixe 

Usase 

Adresses Unicast nour ISP 

010 

Adresse d'un hote sur Internet 

Adresses Unicast exnerimcntales 

001 


Adresses "Link Local Use" 

O 

o 

Un seul reseau. autoconfi miration. « neighbor » 

Adresses "Site Local Use" 

mi mo il 

sous-reseaux prives 

Adresses Multicast 

mi ini 



15 % de I'espace d'adressage est actuellement alloue. Les 85% restants sont reserves pour des usages futurs. En realite sur les 
128 bits, settlement 64 sont utilises pour les hotes (Interface ID). 

Chapitre 5. Fichiers de configuration du reseau et 
commandes de base 


Presentation des principaux fichiers de configuration du reseau et des commandes d'administration systeme 
et reseau. 


Chapitre 5. Fichiers de configuration du reseau et commandes de base 
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5.1. Presentation du document : les outils de I'administrateur reseau 

Ce document presente les principaux fichiers de configuration d'une machine en reseau, et les commandes d'administration 
reseau. 

II est compose de 6 parties: 

1 . Les fichiers de configuration reseau 

2. La commande ifconfig 

3. La commande arp 

4. La commande route 

5. La commande netstat 

6. La commande traceroute 


5.2. Les fichiers de configuration 

5.2.1. Le fichier /etc/hosts 

Le fichier hosts donne un moyen d'assurer la resolution de noms 
Exemple de fichier host 

127.0.0.1 localhost localhost . localdomain 
192.168.1.1 uranus.foo.org uranus 


5.2.2. Le fichier /etc/networks 

II permet d’affecter un nom logique a un reseau 

localnet 127.0.0.0 
foo-net 192.168.1.0 

Cette option permet par exemple d’adresser un reseau sur son nom, plutot que sur son adresse. 

route add foo-net au lieu de route add -net 192.168.1.0. 


5.2.3. Le fichier /etc/host . conf 

II donne l’ordre dans lequel le processus de resolution de noms est effectue. Voici un exemple de ce que Ton peut trouver dans 
ce fichier : 


order hosts, bind 


La resolution est effectuee d’abord avec le fichier host, en cas d’echec avec le DNS. 


5.2.4. Le fichier /etc/resolv. conf 

II permet d’affecter les serveurs de noms. 

Exemple 


Nameserver 192.168.1.1 
Nameserver 192.168.1.2 
Nameserver 192.168.1.3 

Ici le fichier declare le nom de domaine et 3 machines chargees de la resolution de noms. 


5.2.5. Les fichiers de configuration des interfaces reseau 

Vous trouverez ces fichiers dans / etc/ network/ interfaces. Voici un exemple qui contient 3 interfaces. 

# /etc/network/interfaces — configuration file for ifup(8), ifdown(8) 

# The loopback interface 

# automatically added when upgrading 

auto lo ethO ethl 


iface lo inet loopback 

iface ethO inet static 

address 192.168.90.1 
netmask 255.255.255.0 
network 192.168.90.0 
broadcast 192.168.90.255 
gateway 192.168.90.1 
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iface ethl inet static 

address 192.168.0.1 
netmask 255.255.255.0 
network 192.168.0.0 
broadcast 192.168.0.255 


5.3. Les outils de I'administrateur reseau 

5.3.1. La commande ifconfig 

La commande ifconfig permet la configuration locale ou a distance des interfaces reseau de tous types d'equipements (unite 
centrale, switch, routeur). La ligne de commande est : 

ifconfig interface adresse [parametres] . 

Exemple : ifconfig ethO 192. 168. 1 . 2 (affecte l'adresse 192.168.1.2 a la premiere interface physique. 

Voici les principaux arguments utilises : 

interface logique ou physique, il est obligatoire, 

up active l'interface 

down desactive l'interface 

mtu definit 1 'unite de transfert des paquets 

netmask affecter un masque de sous-reseau 

broadcast definit l'adresse de broadcast 

arp ou -arp activer ou desactiver l'utilisation du cache arp de l'interface 

metric parametre utilise pour l'etablissement des routes dynamiques, et determiner le « cout » (nombre de sauts ou 
« hops ») d'un chemin par le protocole RIP. 

multicast active ou non la communication avec des machines qui sont hors du reseau. 

promise ou -promise activer ou desactiver le mode promiscuite de l'interface. En mode promiscuous, tous les paquets qui 
transient sur le reseau sont recus egalement par l'interface. Cela permet de mettre en place un analyseur de trame ou de 
protocole. 

Description du result at de la commande ifconfig ethO : 


1. ethO Link encap:Ethernet HWaddr 00:80:C8:32:C8:1E 

2. inet addr:192.168.1.1 Beast: 192.168.1.255 Mask:255.255.255.0 

3. UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric: 1 

4. RX packets:864 errors:0 dropped:0 overruns:0 frame:0 

5. TX packets:654 errors:0 dropped:0 overruns:0 carrier:0 

6. collisions:0 

7. Interrupt: 10 Base address:0x6100 
Explications : 

Ligne 1: l'interface est de type Ethernet. La commande nous donne l'adresse MAC de l'interface. 

Ligne 2 : on a l'adresse IP celle de broadcast, celle du masque de sous-reseau 

Ligne 3 : l'interface est active (UP), les modes broadcast et multicast le sont egalement, le MTU est de 1500 octets, le Metric 
de 1 

Ligne 4 et 5 : RX (paquets re£us), TX (transmis), erreurs, suppressions, engorgements, collision 
Mode d'utilisation : 

Ce paragraphe decrit une suite de manipulation de la commande ifconfig. 

Ouvrez une session en mode console sur une machine. 

1 - Relevez les parametres de votre machine a l'aide de la commande ifconfig. Si votre machine n’a qu’une interface physique, 
vous devriez avoir quelque chose d’equivalent a cela. 


5.3. Les outils de I’administrateur reseau 
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Lo Link encap: Local Loopback 

inet addr : 127 . 0 . 0 . 1 Beast : 127 . 255 . 255 . 255 Mask : 255 . 0 . 0 . 0 
UP BROADCAST LOOPBACK RUNNING MTU: 3584 Metric :1 
RX packets: 146 errors :0 dropped :0 overruns : 0 frame :0 
TX packets: 146 errors :0 dropped: 0 overruns : 0 carrier :0 
collisions : 0 

ethO Link encap : Ethernet HWaddr 00 : 80 : C8 : 32 : C8 : IE 

inet addr: 192. 168. 1.1 Beast : 1 92 . 1 68 . 1 . 255 Mask : 255 . 255 . 255 . 0 

UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric :1 

RX packets: 864 errors :0 dropped :0 overruns : 0 frame :0 

TX packets: 654 errors :0 dropped: 0 overruns : 0 carrier :0 

collisions : 0 

Interrupt: 10 Base address : 0x6100 

2 - Desactivez les 2 interfaces lo et ethO 

ifeonfig lo down 
ifeonfig ethO down 

3 - Taper les commandes suivantes : 
ping localhost 

ping 192.168.1.1 
telnet localhost 

Aucune commande ne fonctionne, car meme si la configuration IP est correcte, les interfaces sont desactivees. 

4 - Activez l'interface de loopback et tapez les commandes suivantes : 
ifeonfig lo up /* activation de l'interface de loopback */ 
ping localhost ou telnet localhost /* 5 a ne marche toujours pas */ 
route add 127.0.0.1/* on ajoute une route sur l'interface de loopback */ 
ping localhost ou telnet localhost /* maintenant ga marche */ 
ping 192.168.1.1/* ga ne marche pas car il manque encore une route*/ 

On peut deduire que : 

• - pour chaque interface il faudra indiquer une route au protocole. 

• - dans la configuration actuelle, aucun paquet ne va jusqu'a la carte, done ne sort sur le reseau. 

Voici le role de l'interface loopback. Elle permet de tester un programme utilisant le protocole IP sans envoyer de paquets sur 
le reseau. Si vous voulez ecrire une application reseau, (telnet, ftp, ou autre), vous pouvez la tester de cette fagon. 

5 - Activez l'interface ethO et tapez les commandes suivantes : 
ifeonfig ethO up /* activation de l'interface */ 

route add 192.168.1.1 

ifeonfig /* l'information Tx/Rx de l'interface ethO vaut 0 */ 

/* Aucun paquet n'est encore passe par la carte.*/ 

ping 127 . 0.0.1 

ifeonfig /* on voit que l'information Tx/Rx de lo est modifiee */ 

/* pas celle de ethO, on en deduit que les paquets */ 

/* a destination de lo ne descendent pas jusqu'a l'interface physique */ 

ping 192.168.1.1/* test d'une adresse locale */ 

ifeonfig /* Ici on peut faire la meme remarque. Les paquets ICMP */ 

/* sur une interface locale, ne sortent pas sur le reseau */ 

/* mais ceux de l'interface lo sont modifies*/ 
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ping 192.168.1.2/* test d'une adresse distante */ 

if conf ig /* Ici les paquets sont bien sortis. Les registres TX/RX de ethO */ 

/* sont modifies, mais pas ceux de lo */ 

6 -Realisez les manipulations suivantes, nous allons voir le comportement de la commande ping sur les interfaces. 

Sur la machine tapez la commande 

192.168.1.1 ifconfig /* relevez les valeurs des registres TX/RX */ 

192.168.1.2 ping 192.168.1.1 

192.168.1.1 ifconfig /* relevez les nouvelles valeurs des registres TX/RX */ 

/* il y a bien eu echange Reception et envoi de paquets*/ 

192.168.1.2 ping 192.168.1.3 

192.168.1.1 ifconfig /* On voit que le registre Rx est modifie mais */ 

/* le registre Tx n'est pas modifie. La machine a bien regu*/ 

/* paquet mais n'a rien renvoye */ 

192.168.1.2 ping 192.168.1.2 

192.168.1.2 ifconfig /* aucun registre n'est modifie, done les paquets */ 

/* ne circulent pas jusqu'a l'interface physique avec un .*/ 

/* ping sur l'interface locale */ 

7 - le MTU ( Message Transfert Unit) determine l'unite de transfert des paquets. 

Vous allez, sur la machine 192.168.1.1 modifier le MTU par defaut a 1500, pour le mettre a 300, avec la commande : 

ifconfig ethO mtu 300 

Sur la machine d'adresse 192.168.1.2, vous allez ouvrir une session ftp et chronometrer le temps de transfert d'un fichier de 30 
MO. Relevez le temps et le nombre de paquets transmis ou regus (commande ifconfig, flags TX/RX). 

Restaurez le parametre par defaut sur la premiere machine. 

Refaites le meme transfert et comparez les chiffres. La difference n'est pas enorme sur le temps car le volume de donnees est 
peu important. Par contre la difference sur le nombre de paquets, elle, est importante. 

5.3.2. La commande arp 

Description de la commande 

La commande arp permet de visualiser ou modifier la table du cache de l'interface. Cette table peut etre statique et (ou) 
dynamique. Elle donne la correspondance entre une adresse IP et une adresse Ethernet. 

A chaque nouvelle requete, le cache ARP de l'interface est mis a jour. II y a un nouvel enregistrement. Cet enregistrement a une 
duree de vie (ttl ou Time To Leave). 

Voici un exemple de cache ARP obtenu avec la commande arp -va : 

? (192.168.1.2) at 00 : 40 : 33 : 2D : B5 : DD [ether] on ethO 
>Entries: 1 Skipped: 0 Found: 1 

On voit l'adresse IP et l'adresse MAC correspondante. II n'y a qu'une entree dans la table. Voici les principales options de la 
commande arp : 

arp -s (ajouter une entree statique), exemple : arp -s 192.168.1.2 00 : 40 : 33 : 2D : B5 : DD 
arp -d (supprimer une entree), exemple : arp -d 192.168.1.2 
Voir la page man pour les autres options. 

La table ARP et le fonctionnement d'un proxy ARP. 


5.3.2. La commande arp 
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Cela est realise par la configuration de tables ARP statiques. 

Le proxy est une machine qui est en interface entre un reseau et l'acces a Internet. II fait office de passerelle et de cache a la 
fois. 


• Passerelle, parce que tous les acces a Internet passent par le Proxy, 

• Cache, parce que le Proxy conserve en memoire cache (sur disque), une copie des pages consultees par les utilisateurs 
du reseau. Cela evite de telecharger a nouveau la meme page sur le site d'origine, si un utilisateur revient frequemment 
dessus. 

Si un hote du reseau demande l'adresse d'un noeud distant situe sur un autre reseau, et que cet hote passe par un proxy, le proxy 
va renvoyer a l'hote sa propre adresse Ethernet. Une fois cette operation realisee, tous les paquets envoyes par l'hote seront a 
destination de l'adresse Ethernet du proxy. Le proxy aura en charge de transmettre ces paquets a l'adresse effective du noeud 
distant. 

Pour les reponses, un processus identique est mis en place. Le site consulte, ne retourne les reponses qu'au serveur proxy. Le 
serveur proxy se charge de ventiler les pages au bon destinataire du reseau local. 

Voir, pour le fonctionnement des serveurs cache et la configuration des navigateurs avec ce type de serveur, le document sur le 
W3 et les scripts CGI. 

Mode d’utilisation : 

Attention a certaines interpretations de ce paragraphe. II depend de votre configuration. Soit vous etes en reseau local avec une 
plage d’adresse declaree, soit vous utilisez une carte d’acces distant. 

Premiere partie : 


1 . Affichez le content! de la table ARP avec la commande arp -a, 

2. Supprimez chaque ligne avec la commande arp -d @ ip, ou @ip est l’adresse IP de chaque hote apparaissant dans 
la table, 

3. La commande arp -a ne devrait plus afficher de ligne, 

4. Laites un ping, sur une station du reseau local, 

5. arp -a, affiche la nouvelle entree de la table, 

6. Ouvrez une session sur Internet, puis ouvrez une session ftp anonyme sur un serveur distant en utilisant le nom, par 
exemple ftp . edrom. com. Utilisez une adresse que vous n’avez jamais utilisee, supprimez egalement tout 
gestionnaire de cache. 

7. Affichez le nouveau content! de la table avec arp -a. Le cache ARP ne contient pas l'adresse Ethernet du site 
distant, mais celle de la passerelle par defaut. Cela signifie que le client n'a pas a connaitre les adresses Ethernet des 
hotes etrangers au reseau local, mais uniquement l'adresse de la passerelle. Les paquets sont ensuite pris en charge par 
les routeurs. 

8. Refaites une tentative sur le site choisi precedemment. Le temps d'ouverture de session est normalement plus court. 
Cela est justifie, car les serveurs de noms ont maintenant dans leur cache la correspondance entre le nom et l'adresse 

IP. 

Deuxieme partie : 

La commande arp permet de diagnostiquer un dysfonctionnement quand une machine prend l'adresse IP d'une autre machine. 


1. Sur la machine 192.168.1.1, faites un ping sur 2 hotes du reseau 192.168.1.2 et 192.168.1.3, 

2. A l'aide de la commande arp, relevez les adresses MAC de ces noeuds, 

3. Modifiez l’adresse IP de la machine 192.168.1.2 en 192.168.1.3 

4. relancez les 2 machines en vous arrangeant pour que la machine dont vous avez modifie l'adresse ait redemarre la 
premiere, 

5. Sur la machine d'adresse 192.168.1.1, remettez a jour les tables ARP. 

6. Quel est le contenu, apres cela de la table ARP ? 

Conclusion : vous allez avoir un conflit d'adresses. Vous allez pouvoir le detecter avec la commande arp. Autre probleme, si 
vous faites un telnet sur 192.168.1.3, il y a de fortes chances pour que ce soit la machine qui etait d'adresse 192.168.1.2, qui 
vous ouvre la session. Nous sommes (par une action volontaire bien sur) arrives a mettre la pagaille sur un reseau de 3 postes. 
Cette pagaille pourrait tourner vite au chaos sur un grand reseau, d'ou la necessite pour un administrateur de faire preuve d'une 
grande rigueur. 

Ou en suis—je ? 

Exercice 1 : 

Vous etes sur un reseau d'adresse 192.168.1.0 avec une interface d'adresse MAC 00:40:33:2D:B5:DD, 

Vous n'avez aucun fichier host sur votre machine. 
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II n'y a pas de DNS 

La passerelle par defaut est 192.168.1.9 

Vous faites un ping 195 . 6.2.3 qui a une interface d'adresse MAC 00:45:2D:33:C2 est localisee sur Internet 
Le reseau fonctionne parfaitement et tout est parfaitement configure 
Cochez la bonne reponse: 

A - On a dans la table arp ? (192.168.1.2) at 00:40:33:2D:B5:DD [ether] on ethO 
B - On a dans la table arp ? (192.168.1.2) at 00:45:2D:33:C2 [ether] on ethO 
C - On a dans la table arp ? (195.6.2.3) at 00:40:33:2D:B5:DD [ether] on ethO 
D - On a dans la table arp ? (195.6.2.3) at 00: 00:45:2D:33:C2 [ether] on ethO 
E - II faut un fichier host, ou DNS pour realiser l'operation ping demandee 
F - II n'est pas possible dans la configuration actuelle d'atteindre fhote 195.6.2.3 

Reponse F, car la plage d'adresse 192.168.1.1 a 192.168.1.254 n'est pas routee sur l'Internet, sinon vous auriez l'adresse de la 
passerelle par defaut dans le cache ARP. 

Exercice 2 : 

Vous etes sur un reseau d'adresse 192.5.1.0 avec une interface d'adresse MAC 00:40:33:2D:B5:DD, 

Vous n'avez aucun fichier host sur votre machine, 

II n'y a pas de DNS, 

La passerelle par defaut est 192.5. 1.9 

Vous faites un ping www. existe . org dont l'adresse IP est 195.6.2.3, et qui a une interface d'adresse MAC 
00:45:2D:33:C2 

Le reseau fonctionne parfaitement et tout est parfaitement configure 
Cochez la bonne reponse: 

A - On a dans la table arp ? (192.5.1.0) at 00:40:33:2D:B5:DD [ether] on ethO 
B - On a dans la table arp ? (192.5.1.0) at 00:45:2D:33:C2 [ether] on ethO 
C - On a dans la table arp ? (195.6.2.3) at 00:40:33:2D:B5:DD [ether] on ethO 
D - On a dans la table arp ? (195.6.2.3) at 00: 00:45:2D:33:C2 [ether] on ethO 
E - II faut un fichier host, ou DNS pour realiser l'operation ping demandee 
F - II n'est pas possible dans la configuration actuelle d'atteindre l’hote 195.6.2.3 
Reponse E, car la resolution de noms ne peut etre effectuee 
Exercice 3 : 

Vous etes sur un reseau d'adresse 192.5.1.0, sur une machine d'adresse 192.5.1.1, et une interface d'adresse MAC 
00:40:33:2D:B5:DD, 

Vous n'avez aucun fichier host sur votre machine, 

II n'y a pas de DNS 

La passerelle par defaut est 192.5.1.9, d'adresse MAC 09:44:3C:DA:3C:04 

Vous faites un ping 195 . 6 . 2 . 3. et qui a une interface d'adresse MAC 00:45:2D:33:C2 

Le reseau fonctionne parfaitement et tout est parfaitement configure 

Cochez la bonne reponse: 

A - On a dans la table arp ? (192.5.1.0) at 00:40:33:2D:B5:DD [ether] on ethO 
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B - On a dans la table arp ? (192.5.1.0) at 00:45:2D:33:C2 [ether] on ethO 
C - On a dans la table arp ? (195.6.2.3) at 00:40:33:2D:B5:DD [ether] on ethO 
D - On a dans la table arp ? (192.5.1.9) at 09:44:3C:DA:3C:04 [ether] on ethO 
E - II faut un fichier host, ou DNS pour realiser l'operation ping demandee 
F - II n'est pas possible dans la configuration actuelle d'atteindre I’hote 195.6.2.3 

Reponse D, l’hote a bien ete trouve, la table ARP a ete mise a jour avec l’adresse IP de la passerelle par defaut et son adresse 
Ethernet. 


5.3.3. La commande route 

La commande route a deja ete entrevue un peu plus haut, avec la commande ifconfig. Le routage definit le chemin emprunte 
par les paquets entre son point de depart et son point d’arrivee. Cette commande permet egalement la configuration de pc, de 
switchs de routeurs. 

II existe 2 types de routages : 

- le routage statique 

- le routage dynamique. 

Le routage statique consiste a imposer aux paquets la route a suivre. 

Le routage dynamique met en oeuvre des algorithmes, qui permettent aux routeurs d’ajuster les tables de routage en fonction de 
leur connaissance de la topologie du reseau. Cette actualisation est realisee par la reception des messages re£us des noeuds 
(routeurs) adjacents. 

Le routage dynamique permet d’avoir des routes toujours optimisees, en fonction de l’etat du reseau (nouveaux routeurs, 
engorgements, pannes) 

On combine en general le routage statique sur les reseaux locaux au routage dynamique sur les reseaux importants ou etendus. 

Un administrateur qui dispose par exemple de 2 routeurs sur un reseau, peut equilibrer la charge en repartissant un partie du 
flux sur un port avec une route, et une autre partie sur le deuxieme routeur. 

Exemple de table de routage : 

Kernel IP routing table 


Destination 

Gateway 

Genmask 

Flags 

Metric 

Ref 

Use 

Iface 

192 .168 .1.0 

k 

255.255.255. 

OU 

0 

0 

2 

ethO 

127 .0.0.0 

-k 

255.0.0.0 

U 

0 

0 

2 

lo 

default 

192 .168 .1.9 

0.0. 0.0 

UG 

0 

0 

10 

ethO 


Commentaire generaux : 

Destination : adresse de destination de la route 

Gateway : adresse IP de la passerelle pour atteindre la route, * sinon 

Genmask : masque a utiliser. 

Flags : indicateur d'etat (U - Up, H - Host - G - Gateway, D - Dynamic, M - Modified) 

Metric : cout metrique de la route (0 par defaut) 

Ref : nombre de routes qui dependent de celle-ci 
Use : nombre d'utilisation dans la table de routage 
Iface : interface ethO, ethl, lo 
Commentaire sur la 3eme ligne : 

Cette ligne signifie que pour atteindre tous les reseaux inconnus, la route par defaut poite l'adresse 192.168.1.9. C'est la 
passerelle par defaut, d'oii le sigle UG, G pour gateway. 

Ajout ou suppression d'une route : 

route add [net | host] addr [gw passerelle] [metric cout] [ netmask masque] [dev 
interface] 
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- net ou host indique l'adresse de reseau ou de l’hote pour lequel on etablit une route, 

- adresse de destination, 

- adresse de la passerelle, 

- valeur metrique de la route, 

- masque de la route a ajouter, 

- interface reseau a qui on associe la route. 

Exemples : 

route add 127.0.0.1 lo /* ajoute une route pour l’adresse 127.0.0.1 sur l’interface lo */ 

route add -net 192.168.2. 0 ethO /* ajoute une route pour le reseau 192.168.2.0 sur l’interface ethO */ 

route add saturne . foo . org/* ajoute une route pour la machine machin sur l’interface ethO */ 

route add default gw ariane /* ajoute ariane comme route par defaut pour la machine locale */ 

/* ariane est le nom d'hote d'un routeur ou d'une passerelle */ 

/* gw est un mot reserve */ 

route add duschmoll netmask 255 . 255 . 255 . 192 

/* Encore un qui a cree des sous reseaux., II s'agit ici d'une classe c */ 

/* avec 2 sous reseaux, il faut indiquer le masque. */ 

Suppression d'une route : 

route del -net 192.168.1.0 
route del -net toutbet-net 

Attention, si on utilise des noms de reseau ou des noms d'hotes, il faut qu'a ces noms soient associes les adresses de 
reseau ou des adresses IP dans le fichier / etc/networks pour les reseaux, et /etc/hosts ou DNS pour les noms 
d'hotes. 

Vous pouvez egalement voir l'atelier sur la mise en place d'un routeur logiciel. 

Petite etude de cas : 

Premiere partie - realisation d'une maquette 

On dispose de 2 reseaux (A et B) relies par une passerelle. Le reseau A est egalement relie a Internet par un routeur. Le reseau 
A dispose d'un serveur de noms. Chaque reseau a deux machines. 

Reseau Nom du reseau Machine Nom des machines 

A metaux-net 192.3.2.2 platine 

192.3.2.3 uranium 

192.3.2.4 mercure (serveur de noms) 

B roches-net 130.2.0.2 quartz 

130.2.0.3 silex 

La passerelle entre le reseau A et B a 2 interfaces : 

-ethO 192.3.2.1 

- ethl 130.2.0.1 

Le reseau A, a une passerelle par defaut pour Internet 130.2.0.9, qui est l'interface d'un autre routeur. 

On veut : 

- que les stations de chaque reseau puissent acceder a Internet, 

- que les stations de chaque reseau puissent communiquer entre-elles, 

- que les stations du reseau B, utilisent le serveur de noms le moins possible. 

On demande : 
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1 - d'expliquer comment seront configures les postes du reseau B, 

2 - de donner la configuration des fichiers suivants pour chaque machine (hosts, resolv . conf, fichier de configuration 
de carte). 

3 - de donner la liste des routes a mettre : 

- sur les postes du reseau B, 

- sur les postes du reseau A, 

- sur la passerelle qui relie les 2 reseaux, 

- sur le routeur du reseau A. 

5.3.4. La commande netstat 

La commande netstat, permet de tester la configuration du reseau, visualiser l'etat des connexions, etablir des statistiques, 
notamment pour surveiller les serveurs. 

Liste des parametres utilisables avec netstat : 

Sans argument, donne l'etat des connexions, 

-a afficher toutes les informations sur l'etat des connexions, 

-i affichage des statistiques, 

-c rafraichissement periodique de l'etat du reseau, 

-n affichage des informations en mode numerique sur l'etat des connexions, 

-r affichage des tables de routage, 

-t informations sur les sockets TCP 
-u informations sur les sockets UDP. 

Etat des connexions reseau avec netstat, dont voici un exemple : 

Proto Recv-Q Send-Q Local Address Foreign Address State 

Tcp 0 126 uranus . planete . n : telnet 192.168.1.2:1037 ESTABLISHED 

Udp 0 0 uranus . plan : netbios-dgm *:* 

Udp 0 0 uranus . plane : netbios-ns *:* 

Active UNIX domain sockets (w/o servers) 

Proto RefCnt Flags Type State I-Node Path 

Unix 2 [ ] STREAM 1990 /dev/log 

Unix 2 [ ] STREAM CONNECTED 1989 

Unix 1 [ ] DGRAM 1955 

Explications sur la premiere partie qui affiche l'etat des connexions : 

Proto : Protocole utilise 

Recv-q : nbre de bits en reception pour ce socket 
Send-q : nbre de bits envoyes 
LocalAdress : nom d'hote local et port 
ForeignAdress : nom d'hote distant et port 
State : etat de la connexion 

Le champ state peut prendre les valeurs suivantes: 

Established : connexion etablie 

Syn snet : le socket essaie de se connecter 

Syn recv : le socket a ete ferme 

Fin wait2 : la connexion a ete fermee 
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Closed : le socket n'est pas utilise 

Close wait : l'hote distant a ferme la connexion; Fermeture locale en attente. 

Last ack : attente de confirmation de la fermeture de la connexion distante 
Listen : ecoute en attendant une connexion externe. 

Unknown : etat du socket inconnu 

Explications sur la deuxieme partie qui affiche l'etat des sockets (IPC - Inter Processus Communication) actifs : 

Proto : Protocole, en general UNIX, 

Refcnt : Nombre de processus associes au socket 

Type : Mode d'acces datagramme (DGRAM), flux oriente connexion (STREAM), brut (RAW), livraison fiable des messages 
(RDM) 

State : Free, Listening, Unconnected, connecting, disconnecting, unknown 
Path : Chemin utilise par les processus pour utiliser le socket. 

Affichage et etat des tables de routage avec netstat : nets tat -nr ou netstat — r 

Kernel IP routing table 

Destination Gateway Genmask Flags MSS Window irtt Iface 

192.168.1.0 * 255.255.255.0 U 1500 0 0 ethO 

127.0.0.0 * 255.0.0.0 U 3584 0 0 lo 

Explications sur la commande netstat -r 

Destination : adresse vers laquelle sont destines les paquets 

Gateway : passerelle utilisee, * sinon 

Flags : G la route utilise une passerelle, U l'interface est active, H on ne peut joindre qu'un simple hote par cette route) 

Iface ; interface sur laquelle est positionnee la route. 

Affichage de statistiques avec netstat -i 


Iface 

MTU 

Met 

RX-OK 

RX-ERR 

RX-DRP 

RX-OVR 

TX-OK 

TX-ERR 

TX-DRP 

TX-OVR 

Flags 

Lo 

3584 

0 

89 

0 

0 

0 

89 

0 

0 

0 

BLRU 

ethO 

1500 

0 

215 

0 

0 

0 

210 

0 

0 

0 

BRU 


Explications sur la commande netstat -i 

RX-OK el TX-OK rendent compte du nombre de paquets recus ou emis, 

RX-ERR ou TX-ERR nombre de paquets re£us ou transmis avec erreur, 

RX-DRP ou TX-DRP nombre de paquets elimines, 

RX-OVR ou TX-OVR recouvrement, done perdus a cause d'un debit trop important. 

Les Flags (B adresse de diffusion, L interface de loopback, M tous les paquets sont re 5 us, O arp est hors service, P connexion 
point a point, R interface en fonctionnement, U interface en service) 

Exercices : 

On donne les resultats de 3 commandes netstat ci-dessous, extraites de la meme machine : 

$ netstat -nr 
Kernel IP routing table 

Destination Gateway Genmask Flags MSS Window irtt Iface 
198.5.203.0 0.0.0.0 255.255.255.0 U 1500 0 0 ethO 
127.0.0.0 0.0.0.0 255.0.0.0 U 3584 0 0 lo 
0.0.0.0 198.5.203.3 0.0.0.0 UG 1500 0 0 ethO 
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$ netstat 

Active Internet connections (w/o servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
Tcp 0 127 ur anus. toutbet: telnet 194.206.6.143:1027 ESTABLISHED 
$ netstat -i 

Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flags 
Lo 3584 0 764 0 0 764 89 0 0 0 BLRU 
ethO 1500 0 410856 0 0 33286 210 0 0 0 BRU 
On demande : 


1 . Quels sont les noms et adresse de la machine consultee ? 

2. Quel type de session est-elle en train de supporter ? 

3. A quoi correspond l'adresse 198.5.203.3 ? 

4. Pourquoi une interface porte-t-elle les Flags BLRU et l'autre BRU ? 

5. Quelle est la taille des paquets utilisee par la passerelle par defaut ? 


5.3.5. La commande traceroute 


La commande traceroute permet d’afficher le chemin parcouru par un paquet pour arriver a destination. Cette commande est 
importante, car elle permet d’equilibrer la charge d’un reseau, en optimisant les routes. 


Voici le resultat de la commande traceroute www . nat . fr, tapee depuis ma machine. 


traceroute to sancy.nat.fr (212.208.83.2), 30 hops max, 4 

1 195.5.203.9 (195.5.203.9) 1.363 ms 1.259 ms 1.270 

2 194.79.184.33 (194.79.184.33) 25.078 ms 25.120 ms 

3 194.79.128.21 (194.79.128.21) 88.915 ms 101.191 ms 

4 cisco-ethO.frontal-gw.internext.fr (194.79.190.126) 

5 sfinx-paris.remote-gw.internext.fr (194.79.190.250) 

6 Internetway.gix-paris.ft.NET (194.68.129.236) 98.471 

7 513.HSSI0-513.BACKl.PARl.inetway.NET (194.98.1.214) 

8 602.HSSI6-602.BACKl.NANl.inetway.NET (194.98.1.194) 

9 FE6-0.BORDl.NANl.inetway.NET (194.53.76.228) 105.110 

10 194.98.81.21 (194.98.81.21) 175.933 ms 152.779 ms 

11 sancy.nat.fr (212.208.83.2) 211.387 ms 162.559 ms 


0 byte packets 
ms 

25.085 ms 


88. 

57 

1 

ms 

124 . 

79 

6 

ms 

100. 

18 

0 

ms 

ms 




137. 

19 

6 

ms 

101. 

12 

9 

ms 

ms 




128. 

61 

8 

ms 

151. 

385 

ms 


Explications : 

Ligne 0 : le programme signale qu’il n’affichera que les 30 premiers sauts, et que la machine www du domaine nat.fr, porte le 
nom effectif de sancy, dans la base d’annuaire du DNS du domaine nat.fr. Cette machine porte l’adresse IP 212.208.83.2. 
Pour chaque tron£on, on a egalement le temps maximum, moyen et minimum de parcours du tron£on. 

Ensuite, on a pour chaque ligne, l’adresse du routeur que le paquet a traverse pour passer sur le reseau suivant. 

Ligne 4 et 5, le paquet a traverse 2 routeurs sur le meme reseau 194.79.190. 

Ligne 4, 5, 6, 7, 8, 9, 11, on voit que les routeurs ont un enregistrement de type A dans les serveurs de noms, puisqu'on voit les 
noms affiches. 


Conclusion : depuis ma machine, chaque requete HTTP passe par 1 1 routeurs pour acceder au serveur www.nat.fr. 

L’acces sur cet exemple est realise sur Internet. Un administrateur, responsable d’un reseau d’entreprise sur lequel il y a de 
nombreux routeurs, peut, avec cet outil, diagnostiquer les routes et temps de routage. II peut ainsi optimiser les trajets et temps 
de reponse. 


5.3.6. La commande dig 

La commande dig remplace ce qui etait la commande nslookup. Cette commande sert a diagnostiquer des dysfonctionnements 
dans la resolution de nom. (Service DNS). 

Utilisation simple de dig : 

$ dig any freenix.org 

; <<>> DiG 9.2.2 <<>> any freenix.org 
;; global options: printcmd 
;; Got answer: 
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;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 21163 

;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 3, ADDITIONAL: 3 


; ; QUESTION SECTION: 
; f reenix . org . 


IN 


ANY 


;; ANSWER SECTION: 
f reenix . org . 


92341 IN SOA ns2 . f reenix . org . \ 

hostmaster . f reenix . org . \ 
2003042501\ 
21600\ 
7200\ 
3600000\ 
259200X 


f reenix . org . 

117930 

IN 

NS 

ns 2 . f reenix . f r 

f reenix . org . 

117930 

IN 

NS 

ns . f rmug . org . 

f reenix . org . 

117930 

IN 

NS 

ns6 . gandi . net . 

;; AUTHORITY SECTION: 

f reenix . org . 

117930 

IN 

NS 

ns 2 . f reenix . f r 

f reenix . org . 

117930 

IN 

NS 

ns . f rmug . org . 

f reenix . org . 

117930 

IN 

NS 

ns6 . gandi . net . 

;; ADDITIONAL SECTION: 

ns 2 . f reenix . f r . 

16778 

IN 

A 

194 . 117.194 . 82 

ns . f rmug . org . 

40974 

IN 

A 

193.56.58.113 

ns6 . gandi . net . 

259119 

IN 

A 

80.67.173.196 


;; Query time: 197 msec 
;; SERVER: 213 . 36 . 80 . 1#53 (213 . 36 . 80 . 1 ) 
;; WHEN: Tue May 27 15:16:23 2003 
;; MSG SIZE rcvd: 248 


retourne les informations sur le domaine concerne. 


11 est ensuite possible d'interroger sur tout type d'enregistrement : SOA, MX, A, CNAME, PTR... 


5.3.7. La commande host 

La commande host interroge les serveurs de corns. Elle peut par exemple etre utilisee pour detecter des dysfonctionnement sur 
un reseau (serveurs hors services). Attention, n'utilisez pas cette commande sur des reseaux dont vous n'avez pas 
fadministration. 


Chapitre 6. Installation d'un serveur Telnet et FTP 

Emulation VTx et transfert de fichier. 

Emulation VTx et transfert de fichier. 

Le document decrit l'installation d'un service de transfert de fichier, la configuration du demon inetd et quelques premiers 
aspects touchant a la securite des services sous GNU/Linux. 

Mots cles : Telnet, FTP, ssh, sftp, scp, TCP-Wrapper 


6.1. Description et objectifs de la sequence 

Vous devriez a la fin pouvoir : 

• utiliser le service FTP du serveur a partir d'un client quelconque du reseau 

• beneficier du service ftp anonyme ou authentifie, 

• pouvoir filtrer Faeces provenant de tout ou partie du reseau avec TCP-Wrapper. 


6.2. Presentation des concepts importants 

1) Telnet: 

Telnet est un protocole qui permet l'emulation de terminal VTx a distance sur un serveur Unix/Linux. 

2) FTP: 

FTP est un protocole de communication qui permet le transfert de fichiers entre plusieurs machines. 

3) Le daemon inetd: 

Toute application fonctionnant sous TCP/IP est basee sur le modele client/serveur. Par exemple quelqu'un se connectant via 
telnet a un hote distant « active » chez l'hote le service serveur telnetd. 


Chapitre 6. Installation d'un serveur Telnet et FTP 
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Chaque serveur est sur une machine en attente d'une connexion sur un port particulier. Dans les premieres versions 
d'Unix-TCP/IP chaque application (telnet, ftp,...) avait son propre serveur qui etait lance au demarrage de chaque machine 
comme un "daemon". Cette strategic encombrait inutilement la table des processus (autant de serveurs que de services). Ces 
services sont dits fonctionnant en mode « autonome » ou « standalone ». 

Le daemon INETD est un « super » serveur, a l'ecoute sur plusieurs ports et qui se charge de recevoir les demandes de 
connexion de plusieurs clients (telnet, ftp,...) et de lancer le serveur correspondant a la demande. A son demarrage il consulte 
les fichiers: 

- /etc/services qui contient la liste generate des services TCP/IP avec leur numero de port et le protocole de transport associe. 

- /etc/inetd.conf qui contient la liste des services actives sur une machine donnee 

Dans les distributions recentes (Mandrake 10.x, RedHat 9.x...), inetd a ete remplace par xinetd. Le principe est tres similaire, a 
la seule difference que, dans /etc/etc/xinetd.d, chaque service (telnet, ftp, pop3...) dispose de son propre fichier de 
configuration. 

Certains services utilisables avec inetd ou xinetd comme telnet, ftp, pop3... sont difficilement securisables car les mots de passe 
transitent en clair sur le reseau. Ce probleme sera vu ulterieurement avec les TPs sur la metrologie. Si ces services sont 
utilisables en l’etat sur des petits reseaux isoles, il faudra eviter de les utiliser sur des reseaux relies a Internet ou dans des 
environnements peu surs. Cependant, la tendance est au cryptage de ces services, grace a SSL notamment. Il existe une version 
securisee de telnet, nommee telnet-ssl. 


6.3. Extrait de /etc/services : 

/etc/services : 

ftp 21/tcp 

telnet 23/tcp 

smtp 25/tcp mail 

pop3 110/tcp # Post Office 

etc... 


6.4. Extrait de /etc/inetd.conf 


ftp 

stream 

tcp 

nowait 

root 

/usr/sbin/ftpd 

ftpd 

#shell 

stream 

tcp 

nowait 

root 

/usr/sbin/rshd 

rshd 

#login 

stream 

tcp 

nowait 

root 

/usr/sbin/rlogind 

rlogind 

#exec 

stream 

tcp 

nowait 

root 

/usr/sbin/rexecd 

rexecd 


Ici, il n’y a que le service ftp qui est active par le serveur inetd. Les autres lignes sont en commentaires. 
Ces services sont dits fonctionnant en mode « parallele ». 


6.5. Configuration avec xinetd 

Le principe est similaire, a la difference que vous avez un fichier de configuration global "/etc/xinetd.conf", et un fichier de 
configuration par service, en general dans le repertoire "/etc/xinetd.d/". 

# 

# Le fichier xinetd. conf 

# 

# Some defaults, and include /etc/xinetd.d/ 
defaults 


instances 

log_type 

log_on_success 

log_on_failure 

cps 


includedir /etc/xinetd.d 


60 

SYSLOG authpriv 
HOST PID 
HOST 
25 30 


Le fichier /etc/xinetd.d/wu-ftpd 

# default: on 

# description: The wu-ftpd FTP server serves FTP connections. It uses \ 

# normal, unencrypted usernames and passwords for authentication, 
service ftp 


disable = no 

socket_type 

wait 

user 

server 


stream 

no 

root 

/usr/sbin/in. ftpd 
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server_args = -1 -a 

log_on_success += DURATION USERID 

log_on_f ailure += USERID 

nice = 10 


Le parametre "disable", permet d'activer/desactiver le service. 

le programme "in.ftpd", indique bien que le service est pris en charge par TCPWrapper (C'est le in qui l'indique, sinon, le 
binaire s'appellerait ftpd). 

Les commentaires en haut du fichier indiquent que ce service ne prend pas en charge l'encryptage des mots de passe. 


6.6. TCP-Wrapper 

TCP-Wrapper est un outil de securite reseau qui permet de controler les acces, les tentatives de connexion sur une machine 
donnee. II permet a tout instant de savoir (par journalisation syslogd) qui essaie d'acceder sur un ordinateur mais egalement de 
filtrer les acces. On peut par exemple sur une machine A interdire les connexions telnet venant d'une machine B tout en 
autorisant les connexions FTP venant de cette meme machine B. 

Principe de fonctionnement: 

Exemple: Si inetd recoit une demande de connexion sur le port 23 il va lancer telnetd. 

Tcpwrapper sert d'enveloppe. II vient « s'intercaler » entre le daemon inetd et le serveur a demarrer. Quand une demande de 
service TCP/IP (en realite TCP ou UDP) arrive sur un port donne, inetd va lancer TCPD (daemon correspondant a Tcpwrapper) 
au lieu d’activer directement le service demande (telnetd, ftpd, pop3...). 

Tcpd prend en charge la requete et met en place ses mecanismes de controle. II peut par exemple verifier que les acces depuis 
la machine cliente sont autorises. Une fois le traitement termine il va (s’il y a autorisation) lancer son propre service in. telnetd, 
in.ftpd, in.imapd.... 


6.7. Elements de configuration 

Sous Linux, tcpd est installe par defaut. On peut voir en consultant le fichier /etc/inetd.conf comment inetd active tcpd. 


6.7.1. Extrait de /etc/inetd.conf 

ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -1 -a 

telnet stream tcp nowait root /usr/sbin/tcpd in. telnetd 


6.7.2. TCP Wrapper 

L'administrateur reseau va pouvoir utiliser 2 fichiers: /etc/hosts. allow et /etc/hosts. deny pour filtrer les acces a sa machine, 
/etc/hosts. deny: on indique dans ce fichier les services et les hotes pour lesquels faeces est interdit. 

/etc/hosts. allow: on indique dans ce fichier les services et les hotes pour lesquels faeces est autorise. 

Exemple: 

# Fichier /etc/hosts . deny 

# interdit tous les acces ftp a la machine 
in . ftpd : ALL 

# Fichier /etc/hosts . allow 

# autorise les acces ftp venant de clil 
in.ftpd : clil . archinet . edu 


TCP-Wrapper utilise falgorithme suivant : 

Si une regie est applicable dans hosts. allow, alors cette regie est appliquee, sinon. Si une regie est applicab 

Ce mode de fonctionnement induit la strategic de securite a adopter : 

1 . decrire toutes les regies pour les couples (services/clients) qui sont autorises, 

2. interdire systematiquement tout le reste. Mettre par defaut ALL:ALL dans hosts. deny. 

Les tentatives d’acces depuis des machines exterieures sont toutes enregistrees dans des fichiers particuliers. Ces 
enregistrements sont effectues par le processus syslogd qui, a son demarrage, lit le fichier /etc/syslog.conf pour trouver dans 
quel(s) fichier(s) il doit enregistrer les differentes tentatives d’ acces. 


6.6. TCP-Wrapper 
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6.8. Extrait de /etc/syslog.conf 

# Log anything (except mail) of level info or higher. 

# Don't log private authentication messages 

# The authpriv file has restricted access. 

authpriv.* /var/log/auth . log 

auth, authpriv . none; /var/ log/ sy slog 


6.9. Extrait de /var/log/syslog 


Feb 

Feb 

Feb 

Feb 

Feb 


3 18:02:52 nsl 
3 18:03:31 nsl 
3 18:07:34 nsl 
3 18:07:46 nsl 
3 18:10:57 nsl 


ftpd[1051]: FTP session closed 
syslogd 1.3-3: restart. 

in . ftpd [ 1057 ] : refused connect from clil.archinet.edu 
in . ftpd [ 1058 ] : connect from nsl.archinet.edu 
login [1063] : LOGIN ON ttyp3 BY mix FROM puce 


Remarques: 

La commande kill -HUP pid de sysklogd permet de redemarrer ce processus avec prise en compte des parametres se trouvant 
dans /etc/syslog.conf. II est aussi possible d'invoquer le script de lancement du service en lui passant l'argument restart : 
/etc/init.d/syslogd restart 


6.10. Consignes pour le processus d'installation et de configuration 

Ouvrez le fichier /etc/inetd.conf, verifiez que les lignes qui activent les demons telnet et ftp sont decommentees. 

Verifier qu'il n'y a aucune regie active dans les fichiers /etc/hosts. allow et /etc/hosts .deny (mettez les regies eventuelles en 
commentaire) 

Pour l'activer manuellement utilisez la commande : /etc/init.d/inetd stop I start 


6.11. Procedure de tests 

1 - Creez un compte d'utilisateur. 

2 - Sur la console, ouvrez une session sous le compte root. 

3 - Vous devez pouvoir utiliser les commandes : 


«#> ftp localhost » ou « ftp 'hostname' » en vous authentif iant avec le compte que vous avez cree 
«#> telnet localhost » ou « telnet 'hostname' » en utilisant le compte que vous avez cree. 
ou 'hostname' indique le nom d'hote de votre machine. 

Si ces commandes fonctionnent sur le serveur, realiser les operations a partir d'un client distant. 

Vous pouvez verifier le fonctionnement de « tcpwraper » 

1 - Interdisez tout dans le fichier /etc/hosts. deny (mettre ALL: ALL a la fin du fichier). Attention, mettez plusieurs retours 
chariots (CR/LF) a la fin du fichier sinon la derniere ligne n'est pas lue. Vous avez des exemples dans "man 5 hosts_access" ou 
man "hosts. allow". 

2 - Verifiez que faeces ftp est maintenant refuse, verifiez les messages dans /var/log/syslog et /var/log/auth. log 
Vous devriez voir, dans les fichiers de log (journaux) les demandes ftp rejetees par TCPWrapper. 

Remettez le fichier hosts. deny dans son etat initial. 


6.12. Problemes que vous pourrez rencontrer 

Q - je ne peux pas acceder au serveur en utilisant le compte root. 

R - Vous pouvez realiser cette operation sur la console, mais par mesure de securite cette operation n'est pas possible a 
distance. Avec telnet, ouvrez une session sur un compte d'utilisateur standard, puis la commande « su ». 

Q - Je n'arrive pas ouvrir de session Telnet ou FTP. 

R - Verifier le fichier de configuration « /etc/inetd.conf », puis que le serveur inet est bien lance. 

Q - J'ai modifie les fichiers host. allow et host.deny. Les modifications n'ont pas fair d'etre prises en compte. 

R - Verifiez la syntaxe des instructions utilisees dans ces fichiers, normalement la modification des regies est prise en compte 
dynamiquement sans avoir besoin de relancer le service. Inserez quelques lignes vides a la fin de ces fichiers. 
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Attention : les services telnet et ftp n'offrent aucune solution de securite sur les reseaux (transmission des donnees en clair). Sur 
un reseau qui n'est pas sur vous ne devrez pas utiliser ces services. 

11 y a d’autres fichiers de configuration qui permettent de securiser le service FTP. Ces fichiers, dans /etc, sont independants de 
TCP Wrapper. Regardez ftpaccess, ftpgroup, ftphosts, ftpusers et leurs pages de manuel. Avec ftpusers, vous pouvez 
autoriser/interdire faeces pour un compte en particulier. 

Sources de documentation complementaires 

Les pages du manuel de TCPWrapper. man syslog.conf ou man syslogd pour plus de renseignements. 


Chapitre 7. TP Unix - Gestion des Utilisateurs 


Mode d’utilisation du serveur Unix/Linux. Environnement BTS Informatique deuxieme annee. 


7.1. Gestion des Utilisateurs 

Objectif : Mettre a disposition un environnement d des utilisateurs, gerer les acces aux fichiers, les droits, 1' environnement de 
travail, gerer les groupes.. 

Contexte : pour cet exercice, on imagine que Ton travaille dans une entreprise dont deux services sont connectes au reseau : le 
service Commercial, et le service Comptable. L’ ambiance au sein du service de comptabilite est assez conviviale, et bien que 
toutes les informations traitees soient absolument secretes (et done interdites en acces a toute autre personne qu’un comptable), 
ces personnes ont l'habitude de partager leurs donnees. Concernant les commerciaux, au contraire, tous leurs travaux sont 
absolument secrets (echanges commerciaux, ristournes et remise, chiffre d'affaires, arrangements divers...) 

Pre-requis : Documentation et exercice de Jean Gourdin : Document sur la site linux-keops.com 


7.2. Documentation technique 

La sequence de log : lorsqu'un utilisateur se logue, tout est gere par le programme login. Ce programme va obeir aux PAM 
(Pluggable Authentification Module), qui vont lui indiquer une suite d'etapes a valider. Ce point, meme si il est tres interessant, 
ne sera pas etudie ici. Disons simplement que le fichier /etc/passwd sera certainement lu (si on utilise une authentification 
standard et locale, et pas du NIS, ou du LDAP), et que diverses informations concernant l'utilisateur seront ainsi recuperees : 
son nom, son repertoire home, son programme de connexion. 

Le contenu du fichier / etc/profile sera execute (reglages generiques pour tous les utilisateurs). Selon le shell de 
connexion, d'autres scripts seront utilises : si il s'agit d'un shell de login, et que le shell est bash, alors -/ . bash_prof ile ou 
~ / ,bash_login ou -/ .profile seront lus. A la deconnexion, ~ / ,bash_logout sera execute. 

Si il s'agit d’une connexion distante, d’un sous-shell, ou d’un xterm, alors /etc/bash .bashrc puis -/ .bashrc seront 
executes. 


7.2.1. Exercices 

Creez un schema explicatif des fichiers lus, dans les 2 cas de figures suivants : connexion bash en local, et connexion bash 
autres (distantes, xterm, etc). 

Decodez le contenu de ces fichiers sur votre machine. 

Expliquez pourquoi la Debian n’offre pas la visualisation en couleurs des fichiers (Is). Dans votre bash, lancez un nouveau 
bash. Testez le Is.. Que se passe-t-il ? 


7.3. Amelioration du bash 

Peut etre avez vous remarque le fichier /etc/bash_completion. 

Vous connaissez la completion, mais celle-ci est encore superieure : vous le decouvrirez dans fexercice suivant 

7.3.1. Exercices 

Connectez-vous sur deux sessions (afin de comparer la difference), et sur Tune d’elles, activez la completion etendue (tapez . 
/etc/bash_completion . Attention au point tout seul : tres important pour que le script demande s'execute dans l’environnement 
courant, et non dans un fils (les reglages seraient alors perdus). 

Testez la completion etendue avec cd (tab), avec des commandes (apt-get i(tab)), ssh (tab), man ls(tab). 

Que remarquez -vous ? 
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Comment faire pour beneficier de tout ceci ? 

Consultez vos propres fichiers de connexion ( . bash_prof ile, et . bashrc). Modiftez . bash_prof ile afin qu'il 
execute . bashrc (ainsi, . bashrc est execute toujours, en shell de login ou autre). Puis, dans . bashrc, de commentez 
faeces a /etc/bash_completion. 

Testez... 


7.4. /etc/skel (profil par defaut) 

Extension de ces reglages a tous les nouveaux utilisateurs (ou 'du bon usage de /etc/skel') 

Dans le repertoire /etc/skel, vous trouverez le squelette de tous les nouveaux comptes : tout ce qui y est present sera recopie par 
defaut dans le repertoire de chaque nouvel utilisateur 


7.4.1. Exercice 

Quel est le content! de ce repertoire ? 

Modifiez le contenu de /etc/ skel comme vous venez de le faire pour vous. Creez un nouvel utilisateur (adduser toto). 
Connectez vous avec toto, et verifiez ses reglages. 

Imaginons maintenant que nous voulons que tous les nouveaux utilisateurs se retrouvent avec une structure de home standard 
(par exemple, avec un fichier ’mode d’emploi du reseau' et un sous repertoire public_html deja pret pour la publication de 
pages web : 

Creez ce repertoire et un texte 'mode_d_emploi_du_reseau.txt' dans le repertoire /etc/skel. 

Creez deux nouveaux utilisateurs (foo et bar) 

Observez leurs homes. 


7.5. Droits par defaut 

Gestion des droits : Vous avez certainement remarque la commande umask. Cette commande definit les droits standards dont 
seront affubles vos fichiers. Les droits normaux sont 666 pour un fichier, et 777 pour un repertoire. Umask vient en 
soustraction pour le calcul des droits. L'emploi d'umask seul permet d'afficher la valeur d'umask, et umask XXXX permet de 
definir l'umask a XXXX. 


7.5.1. Exercice 

Definissez votre umask a 0000 : creez des fichiers et des repertoires et verifiez les droits obtenus. Definissez votre umask pour 
etre le seul a pouvoir voir vos fichiers et repertoires... Verifiez. 


7.6. Ajout de comptes 

Dans le contexte decrit, on peut proposer de resoudre le probleme par la creation de deux groupes (commerciaux et 
comptables). II semble preferable de creer le home de chaque utilisateur dans /home/NomDuGroupe, dans un souci de 
bonne gestion. 

Le comportement par defaut de creation des comptes est pilote par / etc/ adduser . conf . 

Selon la taille de la population d’utilisateurs a gerer, on pourra modifier ce fichier pour adapter la gestion a nos besoins. Dans 
notre cas, on utilisera des groupes : on creera des groupes, et on creera des utilisateurs dans ces groupes. 

Modification du fichier /etc/adduser . conf 

Ce fichier definit le fonctionnement par defaut, il est suffisamment documents pour que vous puissiez vous debrouiller seul. 
On peut y definir le shell de connexion propose par defaut, le nom du repertoire contenant les home directories, l’endroit des 
squelettes, etc... 


7.6.1. Exercices 

Expliquez ce que sont les LETTERHOMES, le role des directives commen 5 ant par FIRST. Comment faire pour que les homes 
soient creees dans un sous-repertoire de home portant le nom du groupe ? (tous les homes des comptables dans un sous 
repertoire /home/comptables) 

L'ajout de groupes et d’utilisateurs se fait respectivement par les commandes addgroup et adduser. Consultez le man de ces 
commandes. Faites le reglage du adduser.conf correspondant, et testez l’ajout de deux groupes (testprofs et testetudiants), puis 
de quelques utilisateurs (profs et etudiants) 
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Testez ensuite le bon fonctionnement, en vous connectant en tant que certains de ces utilisateurs. 
Supprimez ensuite tous ces utilisateurs, ainsi que leurs repertoires (man userdel) 


7.7. Droits d'acces, et multigroupes 

Les commandes chmod, chown et chgrp permettent d'attribuer, de modifier des droits sur les objets du file system (fichiers et 
repertoires) 

(faire un man) 

D'autre part, un utilisateur peut appartenir a plusieurs groupes (un groupe principal, et d'autres additionnels) 

Cela permet une certaine souplesse dans les droits, bien que seule futilisation des ACLs puisse permettre de tout gerer (au prix 
d'une dangereuse complexite). 

Pour ajouter un utilisateur dans un groupe additionnel, utilisez adduser user groupAdditionnel. 

Vous pourrez alors donner des droits a ce groupe, et l'OS evaluera les droits de chaque utilisateur par rapport a l'ensemble de 
ses groupes 


7.7.1. Exercice 

Creez l'ensemble des comptes selon les regies definies en debut de cet exercice : Les commerciaux (Bill, Bob, Carlos, Richard, 
Laura) et les comptables (Raymond, Georgette, Carlotta, Paula). 

Ces utilisateurs peuvent avoir un site web (pensez a creer le public_html). Le systeme de gestion de courrier demande a 
avoir un repertoire MailDir dans chacun des homes. 

Les chefs de services (Bill et Raymond) ont la possibility d'alimenter le site web (creation de pages...) tandis que les utilisateurs 
ne peuvent que consulter. 


Chapitre 8. Travaux pratiques : Telnet et FTP 

8.1. Quelques remarques 

• Relevez dans /etc/services les ports utilises par les services telnet, ftp, pop3, dns, smtp, http. 

• Installez et testez les services telnet et ftp a partir de votre poste puis a partir d'un autre poste. Utilisez les traces dans 
les journaux pour identifier les problemes. 

tail -f /var/log/syslog 

• Utilisez TcpWrapper pour autoriser/interdire le service telnet, le service ftp, tous les services. Vous testerez faeces a 
partir de votre poste, d'un autre poste. 

Attention : Pensez a relancer un service serveur chaque fois que vous avez modifie son fichier de configuration, ceci est vrai 
pour tous les services et ne sera plus repete. En general utilisez la manipulation suivante "/etc/init.d/NomDuService start I stop I 
status I restart" 

II est possible que le client ftp soit remplace par un autre programme comme "Iftp" par exemple. C'est ce programme qui sera 
utilise dans le TP, vous adapterez si vous utilisez autre chose. Fondamentalement ga ne changera rien, mais lftp est beaucoup 
plus riche fonctionnellement que les clients ftp standard. II supporte 6 methodes d'acces ftp, ftps, http, https, hftp et fish. 

La freeduc-sup est configuree pour ne pas supporter les transactions et protocoles "non-surs". Si vous utilisez un client autre 
comme une knoppix par exemple.vous devrez installer le support ssl. 

apt-get install telnetd-ssl 


8.2. Configuration de telnet 

1 . Relevez le port utilise par telnet dans le fichier /etc/services 

2. Decommentez la ligne qui concerne telnet dans /etc/inetd.conf et relancez le service. 

3. Veriftez que le port est bien ouvert avec la commande netstat : 

#> netstat -atup I grep LISTEN 

4. Veriftez que rien dans TCP-Wrapper n'interdit faeces au service telnet. 

# Mettre dans /etc/hosts . allow 
ALL: ALL 

Testez faeces au service telnet. 
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8.3. Configuration de TCP-Wrapper 

1. Interdisez tous les acces dans TCP-Wrapper, testez. 

# Commentez toutes les lignes dans /etc/hosts . allow 

# Mettez dans /etc/hosts . deny 
ALL: ALL 

2. En vous aidant des exemples donnes dans "man hosts. allow", autorisez l'acces pour une machine du reseau sur le 
service telnet, interdisez-le pour toutes les autres, testez. 


8.4. Test de l'acces ftp authentifie 

L'acces authentifie est simple a mettre en oeuvre. 

1. Relevez les ports utilises par ftp dans /etc/services. 

2. Activez le service dans inetd.conf et lancez le service. 

3. Verifiez que le port est bien ouvert avec la commande netstat 

4. Verifiez que rien n'interdit l'acces au service ftp dans les fichiers hosts. allow et hosts. deny 

5. Faites un test en utilisant un compte systeme existant, par exemple "lftp localhost -u util" si util est votre compte. 

Normalement c'est termine, tout doit fonctionner. Si cela ne fonctionne pas, verifiez que vous n’avez rien oublie, verifiez aussi 
les fichiers de log (/var/log/daemon, /var/log/syslog, /var/log/messages) 


8.5. Configuration d'un service ftp anonyme 

La mise en place d'un service ftp anonyme demande plus de manipulations. Vous allez mettre l'environnement dans /home. 

1. Verifiez que le fichier /etc/passwd dispose bien d'un compte ftp : 

knoppix@master : ~/tmp$ grep ftp /etc/passwd 

ftp : x : 1003 : 1003 : Compte ftp anonyme : /home/ftp : /bin/true 

sinon modifie les fichier "/etc/passwd" pour aj outer la ligne. Attention, prenez un "UID" libre. 

2. Creez un compte de groupe dans le fichier /etc/group : 

knoppix@master : ~/tmp$ grep ftp /etc/group 
ftp : x : 1003 : 

3. Utilisez la commande "pwconv" pour mettre a jour le fichier shadow. 

Remarque si vous avez des problemes d' acces sur le serveur 
ftp anonyme par la suite : 

II s 1 agit peut etre d'un probleme de definition du compte 
dans le fichier "/etc/shadow". Vous pouvez pour cela utiliser 
plusieurs options : 

A) Premiere option 

1 - taper "pwunconv" 

2 - modifier le fichier "/etc/passwd" comme indique ci-dessus 

3 - taper "pwconv" pour "recacher" les mots de passe. 

B) Deuxieme option 

1 - utiliser la commande "adduser ftp" qui va mettre les fichiers 
"/etc/passwd" et "/etc/shadow" a jour. Mettez un mot de passe bidon. 

2 - taper "pwunconv" et supprimer le mot de passe du compte dans 
"/etc/passwd" (mettre "*" par exemple) 

3 - remplacer aussi le shell "/bin/bash" par "/bin/true", enregistrer. 

4 - taper "pwconv" pour "recacher" les mots de passe. 

5 - supprimer /home/ftp (rm -rf /home/ftp) 

6 - continuer la procedure ci-dessous. 

4. Sous le compte root vous allez creer l'environnement pour le service ftp : 

cd /home && mkdir -p ftp/lib ftp/bin ftp/pub ftp/incoming ftp/etc 


On copie le programme Is dans ~ftp/bin. Vous pouvez en mettre d'autres, mais soyez prudent. 

cp /bin/ls ftp/bin 

II reste a creer les comptes dans un fichier local passwd et group. On y met juste les comptes necessaires pour 
l'utilisation des programmes mis dans ~ftp/bin. 

root@master : /home# grep ftp /etc/group > ftp/etc/group 
root@master : /home# grep root /etc/passwd > ftp/etc/passwd 
root@master : /home# grep ftp /etc/passwd > ftp/etc/passwd 

Verifiez que vous avez bien les informations dans les fichiers ftp/passwd et ftp/group. 

On change les permissions 


chmod -R 111 ftp/bin ; chmod 111 ftp/etc; chmod 444 ftp/etc/*; \ 
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chmod 555 ftp/pub; chmod 1733 ftp/incoming 


On rajoute dans ~ftp/lib les librairies utilisees par les programmes mis dans ~ftp/bin. Vous avez, vous le programme 

"Is". Les librairies utilisees par le programme Is sont visibles avec la commande "Idd". 

Si vous ajoutez d'autres programmes, il faudra y mettre egalement les bonnes librairies. 

root@master : /home# ldd /bin/ls 

librt.so.l => /lib/librt . so . 1 (0x4001f000) 
libc.so.6 => /lib/libc . so . 6 (0x40031000) 
libpthread. so . 0 => /lib/libpthread. so . 0 (0x40141000) 

/lib/ld-linux . so . 2 => /lib/ld-linux . so . 2 (0x40000000) 


II faut done copier toutes ces libraires dans ~ftp/lib. 

cp /lib/librt . so . 1 /lib/libc . so . 6 /lib/libpthread. so . 0 /lib/ld-linux . so . 2 ftp/lib 

Voici done ce que vous devriez avoir a la fin: 

root@master : /home# Is -alR ftp 
root@mr : /home# Is -alR ftp 
ftp: 

total 28 


drwxr-sr-x 

7 

root 

root 

4096 

2003-09-19 

12 : 19 


drwxrwsr-x 

7 

root 

root 

4096 

2003-09-19 

12:21 


d — x — x — x 

2 

root 

root 

4096 

2003-09-19 

12:22 

bin 

d — x — x — x 

2 

root 

root 

4096 

2003-09-19 

12 : 19 

etc 

drwx-wx-wt 

2 

root 

root 

4096 

2003-09-19 

12:19 

incoming 

drwxr-sr-x 

2 

root 

root 

4096 

2003-09-19 

12:21 

lib 

dr-xr-xr-x 

2 

root 

root 

4096 

2003-09-19 

12 : 19 

pub 

ftp/bin: 
total 76 








d — x — x — x 

2 

root 

root 

4096 

2003-09-19 

12:22 


drwxr-sr-x 

7 

root 

root 

4096 

2003-09-19 

12 : 19 


x — x — X 

1 

root 

root 

64428 

2003-09-19 

12:22 

Is 

ftp/ etc : 
total 16 
d — x — x — x 

2 

root 

root 

4096 

2003-09-19 

12:19 


drwxr-sr-x 

7 

root 

root 

4096 

2003-09-19 

12 : 19 


-r — r — r — 

1 

root 

root 

12 

2003-09-19 

12:19 

group 

-r — r — r — 

1 

root 

root 

87 

2003-09-19 

12 : 19 

passwd 

ftp/ incoming : 
total 8 
drwx-wx-wt 

2 

root 

root 

4096 

2003-09-19 

12 : 19 


drwxr-sr-x 

7 

root 

root 

4096 

2003-09-19 

12:19 


ftp/lib: 
total 1296 








drwxr-sr-x 

2 

root 

root 

4096 

2003-09-19 

12:21 


drwxr-sr-x 

7 

root 

root 

4096 

2003-09-19 

12:19 


-rwxr-xr-x 

1 

root 

root 

82456 

2003-09-19 

12:22 

ld-linux . so . 2 

-rwxr-xr-x 

1 

root 

root 

1104040 

2003-09-19 

12:22 

libc . so . 6 

-rw-r — r — 

1 

root 

root 

81959 

2003-09-19 

12:22 

libpthread. so 

-rw-r — r — 

1 

root 

root 

26592 

2003-09-19 

12:22 

librt . so . 1 

ftp/pub : 
total 8 








dr-xr-xr-x 

2 

root 

root 

4096 

2003-09-19 

12:19 


drwxr-sr-x 

7 

root 

root 

4096 

2003-09-19 

12:19 



5. C'est normalement termine. 


8.6. Test de I'acces ftp et securisation du service 

1. Activez le service dans inetd.conf et lancez le service inetd si ce n'est pas deja fait. 

2. Veriftez que le port est bien ouvert avec la commande netstat 

root@mr : /home# netstat -atup I grep LISTEN 

top 0 0 * : ftp *:* LISTEN 879/inetd 

3. Veriftez que rien n'interdit faeces au service ftp dans les fichiers hosts. allow et hosts. deny 

4. Commentez le fichier /etc/ftpusers comme ci-dessous : 

# /etc/ftpusers: list of users disallowed ftp access. See ftpusers(5) . 

root 

#ftp 

fanonymous 

5. Testez et verifiez le bon fonctionnement de faeces ftp anonyme (en utilisant le compte "ftp" ou "anonymous" avec la 
commande : 


lftp localhost -u anonymous 
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ou 

lftp localhost -u ftp 


Si la configuration est correcte, vous devriez avoir le resultat suivant : 


root@master : /home# lftp localhost -u ftp 
Mot de passe: #11 n'y a pas de mot de passe, 
lftp ftp@localhost : ~> Is 
total 20 


faites ENTREE 


d — x — x — x 

2 0 

0 

4096 May 

5 03:35 bin 

d — x — x — x 

2 0 

0 

4096 May 

5 03:35 etc 

drwx-wx-wt 

2 0 

0 

4096 May 

5 03:04 incoming 

dr-xr-xr-x 

2 0 

0 

4096 May 

5 03:32 lib 

dr-xr-xr-x 

2 0 

0 

4096 May 

5 03:04 pub 

6. Commentez la 

ligne anonymous dans le fichier /etc/ftpusers et refaites un essai < 


7. Faites un test en utilisant un compte systeme existant, par exemple "lftp localhost -u util" si util est votre compte. 

8. Restaurez l'etat initial du fichier /etc/ftpusers. 

9. Interdisez l’acces ftp avec TCP-Wrapper. Testez avec faeces anonyme et en utilisant un compte authentifie. 

10. Que peut-on conclure des deux methodes de protection ? 


8.7. telnet, ftp et la securite 

On desactive en general ces services sauf cas tres particulier, car les transactions ne sont pas cryptees. On prefere utiliser les 
services ssh, sep et sftp. Vous devez avoir un service sshd actif sur le serveur. 

Exemple d’utilisation ssh : 

[root@uranus etc]# grep ssh /etc/services 

ssh 22/tcp # SSH Remote Login Protocol 

ssh 22/udp # SSH Remote Login Protocol 

ssh -1 NomUtilisateur Machine 
ssh -1 mix localhost 


Remarque : Sur la version Live-On-CD, vous devez lancer le demon, car il n’est pas actif par defaut : /etc/init.d/sshd start. Le 
lancement de ce serveur permet f utilisation de ssh et de sep a partir de clients. 

Exemple d’utilisation de sftp : 

[root@uranus etc]# grep sftp /etc/services 
sftp 115/tcp 

sftp 115/udp 

[root@uranus etc]# sftp 

usage: sftp [-IvC] [-b batchfile] [-osshopt=value] [user@ ] host [: file [file]] 

[root@uranus etc]# sftp mlx@localhost 
Connecting to localhost... 
mlx@localhost 1 s password: 

Vous pouvez ensuite envoyer ou recuperer des fichiers entre les 2 machines. 

Exemple d’utilisation de sep : 

SYNOPSIS 

sep [-pqrvC46] [-S program] [-P port] [-c cipher] [-i ident ity_f ile ] 

[ — o option] [ [user®] hostl : ] f ilel [...] [ [user® ] host2 : ] f ile2 

# Exporte le fichier "unf ichierlocal" 

sep -S ssh unf ichierlocal mlx@hotedistant : /un/chemin/distant /unf ichierdistant 

# Importe de "hotedistant " , le fichier distant "unf ichierdistant " 

sep -S ssh mlx@hotedistant : /un/chemin/distant /unf ichierdistant unf ichierlocal 

La premiere ligne exporte un fichier, la deuxieme importe. Le compte utilise est mix. La transaction est encryptee avec ssh. 


Chapitre 9. sep, sftp et les tunnels avec ssh 


Approche de ssh, des tunnels et des services mandataires 


9.1. Presentation 

Un des principaux risques sur les reseaux provient de "fecoute" possible puisque toutes les donnees transitent, si rien n’est fait, 
en clair. C'est a dire qu’elles ne sont pas chiffrees. 

11 est ainsi possible de recuperer sans difficult^ les mots de passe des personnes utilisant le reseau, leur messages, et 
d’espionner toutes leurs transactions, y compris celles passees sur des serveurs HTTP. Ceci est lie a la methode d'acces des 
reseaux. Le principe de la commutation par switch permet de limiter un peu les risques mais n'est pas imparable. 
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II existe des solutions permettant de securiser un minimum les transactions. Nous allons voir rapidement quelques modes 
d'utilisations de ssh et d'autres produits comme scp, sftp, unisson et rsync afin de voir comment evoluer dans un environnement 
plus sur. 

II sera fait reference a la maquette suivante : 


Figure 9-1. Schema maquette 


Qu'est ce que ssh ? 

En fait ssh Secure Shell, propose un shell securise pour les connexions a distance et se presente dans ce domaine comme le 
standard "de fait". Mais ce n'est pas que cela. Nous allons essayer de voir quelques modes d'utilisation de ce produit. 

Dans une transaction traditionnelle, un client (personne ou programme) emet une requete TCP vers un serveur. II y a un 
processus serveur utilisant un port et un processus client utilisant egalement un port. Par exemple pop3. II y a done un 
processus serveur et processus client. 

Avec ssh, il sera possible d’etablir un tunnel chiffre entre le client et le serveur. 

II faut bien comprendre ce dont il s'agit et des processus mis en oeuvre. 

Sur le serveur vous allez avoir 2 processus serveurs. Le serveur pop3 et le serveur SSH. Sur le client, vous allez egalement 
avoir 2 processus. Le client pop3 et le client ssh. Le client pop3 se connecte au tunnel (le client ssh local). Le serveur pop3, est 
relie au serveur ssh distant. Les transactions passent dans le tunnel. 

Le client ssh devient un serveur mandataire (proxy) pour le protocole tunnele. Le serveur ssh devient le client proxy pour le 
serveur. 


Figure 9-2. Schema du fonctionnement 


Sur le diagramme, le canal entre le port tep de l'application cliente et le port client du tunnel n'est pas chiffre. Il en est de meme 
entre le port tep de l'application serveur et le port serveur du tunnel. Seul, le canal entre les 2 ports du tunnel est chiffre. 

L'application cliente, n 'utilise plus le port par defaut que lequel ecoute normalement le serveur. 

L'utilisation d'un tunnel ssh impose des contraintes. Par exemple, dans l'exemple ci-dessus, si vous voulez utiliser l'application 
cliente avec un autre serveur, il faudra recreer un autre tunnel et reconfigurer le client. Vous pouvez creer deux tunnels 
differents, mais vous devrez avoir deux applications clientes utilisant des ports differents. Tout cela convient bien sur des 
environnements simples, mais reste un peu contraignant si l'environnement est complexe. 

Pour tunneler un reseau ou de multiples clients, le mieux est d'installer un serveur ssh capable de recevoir plusieurs connexions 
et servant ainsi de serveur proxy aux clients du reseau pour un service donne et routant les requetes dans un tunnel securise 
vers le serveur duplication concerne. 

L'objectif est de pouvoir supprimer d'un serveur toute application utilisant des protocoles "non surs" (ftp, telnet, rsh...), pour les 
remplacer par des applications plus sures, ou alors, s'il n'est pas possible de les desactiver, de les faire passer dans un tunnel 
crypte. 

Des programmes de la meme famille comme "scp" ou "sftp" remplacent les commandes ftp ou rep. 

Avec ssh la totalite de la transaction entre un client et le serveur est cryptee. Le client a la possibility d'utiliser des applications 
X distantes (XI 1 forwarding) a partir d'une invite shell dans un environnement securise. On se sert egalement de SSH pour 
securiser des transactions non sures comme pop3 ou imap par exemple. De plus en plus, ces applications supportent maintenant 
SSL aussi bien pour les clients que pour les serveurs. 

SSH sur GNU/Linux est generalement compose de 3 packages : 

OpenSSH general, (openssh) , 
le serveur OpenSSH (openssh-server ) 
le client (openssh-clients) . 


Les packages OpenSSH requierent le paquetage OpenSSL (openssl). 

Chaque fois que cela est possible vous devez utiliser une solution qui chiffre vos transactions. 


9.2. Mode de fonctionnement de SSH 

L'etablissement du dialogue entre le client et le serveur suit un protocole particulier : 
1 . etablissement d'une couche transport securisee 


9.2. Mode de fonctionnement de SSH 
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2. chiffrement des donnees a l'aide de clefs symetriques pendant la transaction 
Le client peut s'authentifier en toute securite, et acceder aux applications conformes aux specifications du protocole. 


9.2.1. Mode de fonctionnement de la couche transport SSH 

La couche transport assure le chiffrement et le dechiffrement des donnees. Elle assure egalement la compression pour 
ameliorer le transfert. Le client et le serveur negocient plusieurs elements afin que la session puisse s’etablir. 


1 . fechange des cles 

2. l’algorithme de cle publique a utiliser 

3. l’algorithme de chiffrement symetrique a utiliser 

4. l'algorithme d’authentification de message a utiliser 

5. l’algorithme repere (hash) a utiliser 


Lors du premier echange, le client ne connait pas le serveur. Le serveur propose alors une cle hote qui servira par la suite au 
client de moyen d’identification du serveur. 


MO : $ ssh -1 mix Ml.foo.org 

Warning: Permanently added 'Ml,x.y.z.t' (DSA) to the list of known hosts. 
mlx@Ml . f oo . org ' s password: 

Last login: Sat Nov 2 11:37:32 2002 from 212.47.248.114 
Linux 2.2.19. 
mlx@Ml . f oo . org : $ 


Voila un idee de ce que cela donne : 

f reeduc-sup . alt . eu . org, 144 . 85 . 15 . 72 ssh-rsa AAAAB3NzaCly (...) 
pegase, 195 . 115 . 88 . 38 ssh-rsa AAAAB3NzaClyc2EAAAABIwAAAIE (...) 
f reeduc-sup . eu . org, 137 . 1 94 . 1 61 . 2 ssh-dss AAAAB3NzaClkc3M (...) 
(...) 


Le risque de ce procesus, vient done surtout de la premiere transaction, ou le client if a pas le moyen d'identifier de fagon fiable 
le serveur avec qui il communique. Un pirate peut dans certains cas, tenter de detourner cette operation. Au cours d'un echange, 
le client et le serveur modifient regulierement leurs cles. A chaque operation de renouvellement de cle, un pirate qui aurait 
reussit a decrypter les cles, devrait refaire toute 1 operation. 

Authentification : 


Une fois le tunnel securise mis en place, le serveur envoie au client les differentes methodes d’authentification qu'il supporte. 
Dans le cadre d'une authentification par mot de passe, celui-ci peut etre envoye en toute securite puisqu’il est chiffre. 

Connexion : 


Une fois l'authentification realisee, le tunnel SSH peut multiplexer plusieurs canaux en delegant la tache a des agents. 

[mlx@Ml Xll]$ pstree -1 24245 

sshd bash-H — drakfw 

-pstree 
-2* [xclock] 

' -xlogo 


Ici on voit dans la meme session ssh, 2 canaux pour xclock, 1 pour xlogo et 1 pour la commande pstree. Chaque canal est 
numerate. Le client peut fermer un canal sans pour autant fermer toute la session. 


9.2.2. Fichiers de configuration d'OpenSSH 

OpenSSH est constitue de deux ensembles de fichiers de configuration, comme e’est en generate le cas sur les services sous 
linux (ldap, samba..). II y a un fichier de configuration pour les programmes clients (ssh, sep et sftp) et l'autre pour le service 
serveur(sshd). Les informations de configuration SSH qui s’appliquent a l'ensemble du systeme sont stockees dans le repertoire 
/etc/ssh : Voici les principaux fichiers de configuration. 


ssh_conf ig 


sshd_conf ig 
ssh_host_dsa_key 
ssh_host_dsa_key .pub 
ssh_host_key 

ssh_host_key .pub 

ssh_host_rsa_key 

ssh_host_rsa_key .pub 


fichier de configuration client SSH pour l'ensemble 
du systeme. II est ecrase si un meme fichier est 
present dans le repertoire personnel de 
1 ' utilisateur 
(~/ . ssh/conf ig) . 

fichier de configuration pour sshd. 

cle DSA privee utilisee par sshd. 

cle DSA publique utilisee par sshd. 

cle RSA privee utilisee par sshd pour la 

version 1 du protocole SSH. 

cle RSA publique utilisee par sshd pour la 

version 1 du protocole SSH. 

cle RSA privee utilisee par sshd pour la 

version 2 du protocole SSH. 

cle RSA publique utilisee par sshd pour la 

version 2 du protocole SSH. 
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Les informations specifiques a un l'utilisateur sont stockees dans son repertoire personnel a 1'interieur du repertoire ~/.ssh/: 


authorized_keys ou parfois authorized_keys2 

ce fichier contient une liste de cles 
publiques "autorisees" . Si un utilisateur 
se connecte et prouve qu'il connait la cle 
privee correspondant a l'une de ces cles, 
il obtient 1 ' authent if ication . Notez qu'il 
ne s ' agit que d'une methode d ' authent if ication 
facultative . 


id_dsa 

id_dsa .pub 
id_rsa 

identity 

known_hosts 


contient l'identite d ' authent if ication 
DSA de l'utilisateur. 

la cle DSA publique de l'utilisateur. 

la cle RSA publique utilisee par sshd pour 

la version 2 du protocole SSH. 

la cle RSA privee utilisee par sshd pour la 

version 1 du protocole SSH. 

ce fichier contient les cles hote DSA des 

serveurs SSH auxquels l'utilisateur s'est connecte. 


Exemple sur une machine : 

mlx@Ml:~$ Is -al .ssh/ 


total 16 

drwx 2 mix mix 4096 Jan 16 2004 ./ 

drwxr-xr-x 5 mix mix 4096 Oct 18 16:12 ../ 

-rw 1 mix mix 1192 Mar 11 2004 authorized_keys2 

-rw 1 mix mix 240 Jan 16 2004 known_hosts 


9.3. Configurer et utiliser SSH 

Nous allons faire nos premieres experences avec ssh. II vous faut un client et un serveur. C'est mieux. 


9.3.1. Premiers pas 

L'idee est de mettre en place une procedure entre un client et un serveur qui garantit des transactions securisees. A la fin, vous 
pourrez utiliser les ressources du serveur distant dans un tunnel, sans avoir a vous authentifier a chaque fois. 

Pour ceux qui ont deja utilise les commandes rlogin, rsh, rep... et les fichiers .rhosts, le principe est identique. La difference 
fondamentale est que, avec ssh, tout est encrypte. 

Pour cela vous devez metter en place les cles qui serviront a ssh pour vous authentifier. Concretement cela consiste a definir 
une paire de cle, une publique que vous mettrez sur le serveur distant, une privee que vous conserverez sur votre machine. 

La premiere chose a faire est de vous creer une cle. Voyons comment realiser cela. 

Tout d'abord allez dans votre repertoire personnel. 

$ cd 

$ ssh-keygen -t dsa 
$ ssh-keygen -t dsa 

Generating public/private dsa key pair. 

Enter file in which to save the key (/home/mix/ . ssh/id_dsa) : 

Enter passphrase (empty for no passphrase) : 

Enter same passphrase again: 

Your identification has been saved in /home/mix/ . ssh/id_dsa . 

Your public key has been saved in /home/mix/ . ssh/id_dsa . pub . 

The key fingerprint is: 

5c:d9:d8:c5:3d:8d:0b:10:33:42:9c:83:45:al:d0:61 mlx@neptune .foo.org 

Verification de .ssh Attention il y a un devant ssh 


[mlx@neptune mix] $ Is -alR .ssh 
. ssh : 
total 20 


drwx 

2 

mix 

mix 

4096 

nov 

ii 

18:19 

./ 

drwx — x — x 

37 

mix 

mix 

4096 

nov 

ii 

18:09 

. ./ 

-rw 

1 

mix 

mix 

736 

nov 

ii 

18:19 

id dsa 

-rw-r — r — 

1 

mix 

mix 

616 

nov 

ii 

18:19 

id dsa. pub 

-rw-r — r — 

1 

mix 

mix 

1956 

nov 

10 

19:38 

known hosts 


Cette commande a genere une cle DSA par defaut de 1024 bits. La cle privee sera stockee dans ~/.ssh/id_dsa et la cle publique 
dans ~/.ssh/id_dsa.pub. 

Si vous voulez generer une cle RSA2, utilisez l'option t rsa" et pour du RSA1 t rsal". Vous devrez entrer une 
"passphrase". Entre 10 et 30 caracteres. Melangez majuscules, minuscules et chiffres. La cle privee doit ensuite etre mise en 
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lecture settle pour le proprietaire et aucun acces pour les autres. 

Pour modifier votre "passphrase" sur une cle privee DSA, utilisez la commande : 

MO : $ ssh-keygen -p -f ~/ . ssh/id_dsa 
Enter old passphrase: 

Key has comment ' /home/mix/ . ssh/id_dsa ' 

Enter new passphrase (empty for no passphrase) : 

Enter same passphrase again: 

Your identification has been saved with the new passphrase. 

Attention, on oublie pas une "passphrase". 11 va falloir maintenant copier la cle publique vers le ou les serveurs distants. II est 
preferable que vous ayez un compte, sinon vous devrez demander a l'administrateur distant de realiser la procedure. 

La cle publique, doit etre copiee sur le serveur distant dans ~/.ssh/authorized_keys. La cle privee reste sur votre client. Vous 
pouvez mettre plusieurs cles publiques sur le serveur, si vous le souhaitez ou si vous accedez au serveur avec plusieurs comptes 
d'acces differents. 

Copiez la cle avec scp sur le compte que vous avez sur le serveur : 

MO:$ cat . ssh/id_dsa .pub I ssh mlx@Ml.foo.org \ 

"cat - >> . ssh/authorized_keys [2 ] " 

# Attention, sur certaines machines, le fichier se nomme 

# authorized_keys, sur d'autres authorized_keys2 

# Dasn l'exemple qui est donne, le repertoire .ssh doit exister. 

Warning: Permanently added 'Ml.foo.org' (RSA) to the list of known hosts. 
mlx@Ml . f oo . org ' s password: 

Le systeme demande mon mot de passe. 

Elle est transferee. On doit pouvoir maintenant realiser des operations (commandes) comme scp sur le serveur distant, sans 
avoir a saisir de mot de passe. Ici on va faire un "Is", sans ouvir de session sur la machine distante. 

MO : $ ssh mlx@Ml.foo.org Is 

Enter passphrase for key ' /home/mix/ . ssh/id_dsa ' : 

dl 

d2 

d3 

d4 

£a marche, le systeme distant ne me demande plus mon mot de passe, par contre il me demande la "passphrase". II va falloir 
aussi essayer de se passer de ga, car s'il est fastidieux de saisir son mot de passe, il est encore plus embetant de saisir une 
"passphrase". Nous verrons comment se passer de ga avec un agent. 

Remarque : Envoyer une cle par mail n'est pas un systeme sur, et meme chiffre et signe cela ne garantit pas au destinataire 
que vous en etes l’emetteur s’il ne vous a jamais vu. L'administrateur distant peut demander a ce que l’envoyeur justifie qu’il est 
bien celui qui a envoye la cle. Il suffit pour cela de telephoner a l’administrateur et de communiquer "la signature ou empreinte" 
(finger print) de la cle (ou par sms). On utilise le meme procede pour identifier et verifier la validite des cles gpg. 

Pour obtenir le "finger print" d’une cle utiliser la commande : 

MO : $ ssh-keygen -1 

Enter file in which the key is ( /home/mix/ . ssh/id_rsa) : .ssh/id_dsa 
1024 5c:d9:d8:c5:3d:8d:0b:10:33:42:9c:83:45:al:d0:61 . ssh/id_dsa . pub 
MO : $ ssh-keygen -1 

Enter file in which the key is ( /home/mix/ . ssh/id_rsa) : . ssh/id_dsa . pub 

1024 5c:d9:d8:c5:3d:8d:0b:10:33:42:9c:83:45:al:d0:61 . ssh/id_dsa . pub 


9.3.2. Utiliser un agent ssh 

L’utilisation d’un agent, evite d’avoir a retaper la "passphrase" a chaque fois que Ton sollicite l'utilisation de la cle privee. Un 
agent stocke en memoire les cles privees. Void comment activer un agent : 

MO : $ ssh-agent 

La commande met sur la sortie standard des variables environnement a declarer et a exporter. Faites le. 

MO : $ SSH_AUTH_S0CK=/tmp/ssh-XXXB7 6f 4 / agent . 2888 ; export SSH_AUTH_SOCK; 

MO : $ SSH_AGENT_PID=2889; export SSH_AGENT_PID; 

MO : $ echo Agent pid 2889; 

On va maintenant exporter les cles. Cela consiste a les mettre dans le cache de l'agent avec la commande ssh-add. La 
commande demandera la "passphrase".. 

MO : $ ssh-add 

Enter passphrase for /home/mix/ . ssh/id_dsa : 

Identity added: /home/mix/ . ssh/id_dsa ( /home/mix/ . ssh/id_dsa) 
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On verifie maintenant la connexion. 

MO : $ ssh mlx@Ml.foo.org Is 

dl 

d2 

d3 

d4 

£a marche, nous n'avons plus besoin de taper le mot de passe, ni la "passphrase". Pour supprimer une cle (ici RSA) de l'agent, 
utilisez l'option d" 

MO : $ ssh-add -d -/ . ssh/id_rsa 

Utilisez l'option -D pour supprimer toutes les cles de l'agent. 

Utilisez l'option -1 pour savoir quelles cles sont chargees par l'agent. 


9.3.3. Automatisation dans X 

Cela peut etre automatise dans un script. 

"ssh-agent" est un daemon dont le but est d'intercepter la cle publique lorsque le programme "ssh-add" la lit apres avoir 
demande la passphrase. "ssh-agent" doit ensuite transmettre la cle aux processus dont il est le "pere" du point de vue du 
systeme. "ssh-agent" fait beneficier les processus fils (fork) de ses proprietes. 

Pour etendre cela aux session X, si vous lancez 1'interface graphique manuellement, cela deviendra par exemple : 

MO : $ ssh-agent xinit 
ou 

MO : $ ssh-agent startx 

Dans tous les cas, il est necessaire que les variables d'environnement soient definies avant le lancement du serveur X. qui les 
exportera par defaut a l'ensemble de vos applications graphiques (lancees sous X). 

Cela peut aussi etre fait dans le fichier startx ou bien -/.xinitrc ou bien -/.xsession, en resume avant le lancement de votre 
gestionnaire de fenetres. Par exemple, si c'est le fichier -/.xinitrc qui lance le gestionnaire de fenetres, il ressemblera a ceci: 


# ! /bin/sh 

ssh-agent -s > /tmp/ssh . keys # pour y mettre les variables environnement 
/tmp/ssh . keys # Exporter les variables 

rm /tmp/ssh . keys # Faire le menage apres 

startx 

Ainsi, au prochain lancement d’un serveur X, vous n’aurez plus qu’a ouvrir une fenetre xterm et taper la commande: ssh-add 
Une autre solution consiste a mettre dans son .xinit ou .xsession : 

/usr/local/bin/ssh-add $HOME/ . ssh/id_dsa < /dev/null 

La commande ssh-add demande la passphrase 

Pour les sessions xdm par exemple, modifier les fichiers de demarrage : 

#Au debut de /etc/Xll/Xsession : 

AGENT=$ (type -p ssh-agent) 

if [ -x "$ AGENT" -a -z " $SSH_AUTH_SOCK" ]; then 

if [ -r $HOME/ . ssh/identity -o — r $HOME/ . ssh2/identif ication \ 

-o -r $HOME/ . ssh/id_dsa -o — r $HOME/ . ssh/id_rsa ]; then 
SSH_AGENT="$ AGENT — " 
fi 
fi 


9.4. Comprendre la redirection de port (Port Forwarding) 

Avant d’aller plus loin il est important de bien comprendre ce qu’est le "port forwarding". 

Nous avons vu qu’il y avait en jeu : 

1. - 1' application cliente 

2. - l’application serveur 

3. - le client ssh 

4. - le serveur ssh 

Nous allons voir la redirection locale '-L' et distante -R’. La difference vient du sens de la connexion. Dans le relayage local, 
le client tcp et le client ssh sont sur la meme machine. Dans le relayage distant ou "remote", le client ssh est sur la meme 
machine que le serveur tcp. 


9.3.3. Automatisation dans X 
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Dans la demarche qui suit, on utilise un client MO et deux serveurs Ml et M2. On considere que sur chaque serveur fonctionne 
un serveur ssh. On considere aussi que sur chaque machine on dispose d'un compte d'acces sur chaque machine identique avec 
les cles publiques installees. Cela evite une authentification a chaque commande ou l'utilisation de l'option 1' pour preciser le 
compte a utiliser sur le serveur. 

9.4.1. Redirection locale de port (-L Local) 

Si on considere ces 3 machines : MO, la machine cliente. Ml et M2, des serveurs. La syntaxe de la commande est la suivante : 

ssh -L port-local : HOSTNAME : port-distant machine-distante 
la commande est passee sur MO. 

MO : $ ssh -L 1234 : HOSTNAME : 80 Ml 

La commande ouvre une connexion entre le MO: 1234 vers HOSTNAME:80 en utilisant le serveur sshd Ml:22 (actif sur Ml et 
sur le port 22). Tout depend de la valeur que va prendre HOSTNAME. HOSTNAME indique la machine distante sur lequel 
s'opere la connexion. 

Si HOSTNAME est localhost : 

MO : $ ssh -L 1234 : localhost : 80 Ml 

Ici localhost indique l'adresse de loopback de la machine distante, c'est a dire ici Ml et sur laquelle tourne le serveur sshd. C'est 
done M0:1234 qui est tunnele vers le poit Ml:80 en utilisant le service Ml:22. 

Si HOSTNAME est Ml : 

MO : $ ssh -L 1234:M1:80 Ml :-/ 

La connexion est identique mais utilisera l’adresse de la Ml (interface reseau ) plutot que l’interface lo. 

Si HOSTNAME est MO : 

MO : $ ssh -L 1234:M0:80 Ml 

La commande connecte Ml sur MO: 80. 

Si HOSTNAME est M2 : 

MO : $ ssh -L 1234:M2:80 Ml 

II y aura une connexion (tunnel de cree) entre MO et Ml mais la redirection est effectuee entre Ml: 1234 et M2:80 en utilisant 
Ml:22. Les transactions sont chiffrees entre MO et Ml, mais pas entre Ml et M2, sauf si un second tunnel ssh est cree entre Ml 
et M2. 

Les redirections de ports ne sont accessibles en theorie que pour les processus locaux (localhost) (pour nous MO). Si la 
redirection etait possible pour des clients (MX ou MY) ou des requetes distantes qui viendraient se connecter su rM0:1234 
dans notre exemple, ces clients pourraient etre surpris de se voir reroutes. (Sans parler de risques pour la securite car cela 
signifie que d’autres personnes pourraient utiliser a notre insu le tunnel que nous venons de creer. Prenons un exemple : 

MO$ ssh -L 1234 :M1 : 80 1M 

les requetes locales passees sur Ml: 1234 sont redirigees vers Ml:80, mais des requetes passees d’autres machines sur MO: 1234 
ne seront pas, par defaut redirigees. 

II est possible toutefois de passer outre avec l'option ' — g' qui autorise des clients distants a se connecter a des ports locaux 
rediriges. 

MO$ ssh -g -L 1234:M2:80 Ml 

La commande "lynx http://M0:1234" lance a partir d'une machine tierce (MX ou MY) redirigera vers M2:80. 

Une utilisation de cette fonction sera vue en application un peu plus loin. 

9.4.2. Redirection distante de ports (-R Remote) 

Ici le client ssh et le serveur TCP sont du meme cote. La syntaxe de la commande est la suivante : 
ssh -R port-distant : HOSTNAME : port-local machine-distante 
Le port distant est done sur la machine distante (remote) 

On reprend les memes machines que precedemment : 
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MO : $ ssh -R 1234 : HOSTNAME : 80 Ml 

Ici MO a le serveur TCP, il sert done de relai entre une connexion Ml: 1234 et HOSTNAME:80. La connexion est chiffree entre 
Ml et MO. Le chiffrement entre MO et HOSTNAME depend de la liaison mise en place. 

Si HOSTNAME est localhost, alors on a : 

MO : $ ssh -R 1234 : localhost : 80 Ml 

Cela ouvre une connexion depuis Ml: 1234 vers M0:80 car localhost correspond, ici, a MO. Si un utilisateur passe une requete 
sur Ml: 1234, elle sera redirigee vers M0:80. 

Si HOSTNAME est M2, on a : 

MO : $ ssh -R 1234:M2:80 Ml 

Cela ouvre une connexion entre MO et Ml:22, mais les requetes allant de Ml: 1234 sont rediriges sur M2:80. Le canal est 
chiffre entre Ml et MO, mais pas entre MO et M2. 

Enfin derniere remarque, il est possible de passer en parametre le compte a utiliser sur le serveur qui fait tourner le serveur 
sshd. 

Cette option permet par exemple de donner, a des machines distantes, un acces a un service sur une machine inaccessible 
autrement. 


9.4.3. Schema de redirection distante de ports 


Figure 9-3. Schema du fonctionnement 


9.4.4. Exemple de cas d'utilisation 

SSH permet de "tunneler" des protocoles applicatifs via la retransmission de port. Lorsque vous utilisez cette technique, le 
serveur SSH devient un conduit crypte vers le client SSH. 

Cela represente un des plus importants interet de SSH. Permettre la creation de tunnels "surs" pour des protocoles de transports 
"non surs". Ce principe est utilise pour des applications comme pop, imap, mais egalement pour des applications X Window. 

La retransmission de port mappe (redirige) un port local du client vers un port distant du serveur. SSH permet de mapper 
(rediriger) tous les ports du serveur vers tous les ports du client. 

Pour creer un canal de retransmission de port TCP/IP entre 2 machines qui attend les connexions sur l'hote local, on utilise la 
commande suivante : 

ssh -L port-local : HOSTNAME : port-distant nomutilisateur@nomhote 

Une fois que le canal de retransmission de port est en place entre les deux ordinateurs, vous pouvez diriger votre client (POP 
par exemple) pour qu'il utilise le port local redirige et non plus vers le port distant avec une transmission en clair. 

Nous avons bien vu les options L' et '-R'. De nombreuses autres options sont utilisables, par exemple : 

-L # Forwarder un port local vers un port distant sur une machine distante 

-R # Forwarder un port distant vers un port local sur la machine locale 

-N # Ne pas executer de commande distante 

-f # Excute le programme en tache de fond 

-1 # Passer en parametre le login de connexion 

-g # Autoriser des machines distantes a se connecter 

# sur des ports locaux exportes 

Voyons comment creer un tunnel pour le service d'emulation VT par exemple. On va utiliser un port local compris entre 1024 
et 65535 qui sont reserves pour des applications utilisateurs. On va prendre par exemple le port local 1023. Pour creer un 
tunnel on va utiliser la commande : 

MO : $ ssh -L1023 : localhost : 23 mlx@Ml.foo.org 

Ici on utilise (precise) que le commpte utilise sur la machine distante sera Ml.foo.org. Vous devez faire cela si le nom du 
compte que vous utilisez sur le client differe de celui que vous utilisez sur le serveur. 

On cree ici un tunnel entre le port local 1023 et le port distant 23. Le tunnel etant cree il ne reste plus qu'a utiliser le port local 
1023 avec un telnet adresse_de_la_machine 1023 

Le fait de quitter ssh ferme la session tunnelee. 


9.4.3. Schema de redirection distante de ports 
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II est egalement possible d'ouvrir une session temporaire pour un temps donne. Cela evite d’avoir a fermer les connexions. 
Dans la commande : 

MO : $ ssh -f -L1023 : localhost : 23 mlx@Ml.foo.org sleep 10 

L’option -f, met ssh en tache de fond. La session sera ferme automatiquement au bout du temps determine, seulement si aucun 
processus n 'utilise le canal a ce moment. 

Le principe peut etre applique a d'autres services. Voici comment utiliser un canal securise vers une application (ici un 
webmail) qui ne Test pas. (En fait dans la realite, je vous rassure, l'application presentee sur l'image offre toutes les options de 
connexions en mode securise :-) L'exemple donne est pris pour illustrer le props) 


# On cree un tunnel entre le port local et le webmail en utilisant 

# le compte mlx@foo.org 

MO : $ ssh -N -f -L 2038:M1:80 mlx@foo.org 


Figure 9-4. Tunnel HTTP 


On peut egalement sans risque aller sur sa zone public_html en toute securite. 

lynx http : //localhost : 2038/~mlx 


La connexion se fait sur la machine locale et sur le port forwarde. Ni le compte utilisateur utilise, ni le mot de passe ne 
transitent en clair. 

Avec la machine sur lequel le test est realise, les commandes : 

MO : $ ssh -N -f -L 2038:M1:80 mlx@foo.org 
et 

MO : $ ssh -N -f -L 2038 : localhost : 80 mlx@foo.org 

ne produisent pas la meme chose. 

En effet : 

MO : $ ssh -N -f -L 2038:M1:80 mlx@foo.org 

fait reference a une adresse IP qui est redirigee par un Vhost Apache. 

MO : $ ssh -N -f -L 2038 : localhost : 80 mlx@foo.org 

fait reference a l’adresse de loopback, ici c'est le serveur par defaut (typiquement sur une debian /var/www/) qui est consulte. Si 
vous avez plusieurs Vhosts, il vous faudra creer un tunnel par Vhost. 

De la meme fagon, on peut futiliser pour une session ftp. 

MO : $ ssh -N -f -L 2039:M1:21 mlx@foo.org 
MO : $ ftp localhost 2039 
Connected to localhost. 

220 ProFTPD 1.2.5rcl Server (Debian) [Ml] 

Name ( localhost : mix) : mix 
331 Password required for mix. 

Password : 

230 User mix logged in. 

Remote system type is UNIX. 

Using binary mode to transfer files. 


Attention, dans ce dernier exemple, il n’y a que l'authentification qui est chiffree car le port 20 (ftp-data) n'est pas forwarde. 


9.4.5. X and Port Forwarding 

Le deport d'application graphique fonctionne sur le meme principe. Le client (/etc/ssh/ssh_config), doit avoir l'option 
"XI lForward" activee pour les systemes distants. Le serveur (/etc/ssh/sshd_config), doit avoir l'option "XI lForwarding" 
d'activee. Il est possible de tunneler des applications graphiques dans ssh. 

# Sur le client /etc/ssh/ssh_conf ig 
ForwardXll yes 

# Sur le serveur /etc/ssh/sshd_conf ig 
XllForwarding yes 

Voyons comment utiliser une application graphique distante : 

MO : $ ssh -C mlx@Ml.foo.org 
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Enter passphrase for key ' /home/mix/ . ssh/id_dsa ' : 

MO : $ xclock & 

[1] 7771 

L'horloge distante s'affiche. L'option C", active la compression. 

Vous pouvez tout mettre sur la meme ligne de commande, avec l'option f", qui "fork" l'application demandee. 

MO : $ ssh -C -f mlx@Ml.foo.org xclock 

Notez le prompt, ici que l'ouverture de session a ete effectuee en tache de fond (— f). Pour fermer le canal ssh, il suffit de fermer 
l'application. 


9.4.6. Automatisation de taches SSH 

Dans la mesure ou il est possible de passer des commandes a distances sur un serveur, sans avoir a saisir de mot de passe ou de 
"passphrase", on peut envisager l'automatisation de taches entre machines et dans des tunnels, comme par exemple les 
sauvegardes ou la synchronisation de fichiers. Il suffira pour cela de creer un compte associe a la tache, lui creer une cle prive 
et exporter sa cle publique sur les differentes machines. 

Attention toutefois, les manipulations sur les serveurs requierent un acces root. Cela signifie que votre compte operateur, devra 
avoir un acces root sur le serveur ce qui n'est jamais tres bon. 

Vous aurez interet a reflechir a la facon de realiser le traitement sans que ce compte operateur ait besoin du compte "super 
utilisateur". 

Si vous avez un serveur ayant un dm (Desktop Manager) comme gdm par exemple, disponible sur le reseau vous pouvez lancer 
les emulations X Window des clients en appelant le serveur. Par exemple sur le client faire : 

X -query x.y.z.t :u 
ou encore 
X -broadcast :u 

avec u pouvant varier de 0 a 5, suivant que vous voulez avoir la session graphique sur F7...F12. Pour le systeme vc7 que vous 
utilisez par defaut avec CTRL ALT F7 correspond au premier "display" :0. 


9.5. Scenario d'utilisation d'un proxy ssh 

Maintenant que nous y voyons plus clair, voici deux scenarios d'utilisation d'un proxy ssh. 


9.5.1. Proxy HTTP 

Vous etes sur un reseau avec un acces exterieur limite. Pas d'acces http :-( 

Vous devez disposer d'une machine a l'exterieur sur laquelle tourne un serveur ssh et un proxy Squid par exemple. 

Par defaut Squid utilise le port 3128. On met tout d'abord les autorisations a Squid afin qu'il accepte nos requetes, sinon elles 
seront rejetes. (Voir les ACL du fichier /etc/squid.conf). Si vous etes presses un "http_access allow all" est brutal, mais 5 a 
marche ;-) Nous allons creer un tunnel vers ce service de la machine locale vers la machine distante sur le port 3128. 

ssh -N -f -L 3128:M1:3128 mlx@Ml 

11 ne reste plus qu'a configurer votre navigateur pour qu'il utilise le proxy local "localhost:3128" et le tour est joue. Vous 
pouvez naviguer en toute securite, si vos requetes sont espionnees au niveau du firewall de votre boite, elle ne pourront plus 
etre lues. 

Cette configuration presente une limitation. Vous ne pouvez utiliser le proxy qu'a partir de la machine sur laquelle vous avez 
cree le tunnel (MO). 

Si vous etes mobile dans votre entreprise et que vous souhaitez acceder a l'exterieur a partir d’autres machines, ou encore que 
vous voulez laisser cet acces a des amis qui utilisent le meme reseau que vous, il faut proceder autrement. 

ssh -g -N -f -L 3128:M1:3128 mlx@Ml 

L’option g" va transformer votre machine en passerelle pour le tunnel. Les autres n’auront plus qu’a mettre comme proxy, le 
nom ou l’adresse de votre machine et le port 3128. 

Si vous souhaitez par contre ouvrir le service de votre proxy a d’autres amis mais pouvant etre dans d’autres boites ou sur 
d’autres reseaux, cela se complique un peu, car chacun d’eux doit pouvoir creer un tunnel vers votre proxy. Il faut done, sur 
votre proxy creer plusieurs ports d’ecoute pour les tunnels et rediriger tout ga vers votre proxy. 

ssh -N -f -g -L 3130 : localhost : 3128 mlx@localhost 
ssh -N -f -g -L 3131 : localhost : 3128 mlx@localhost 

etc . . . etc . . . 
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Ici on a cree sur le proxy 2 ports, 3130 et 3131 qui redirigent vers le poit 3128. II suffit ensuite a partir des machines distantes 
(reseaux distants) de creer les tunnels vers ces ports. 

MY$ ssh -g -N -f -L 3128 : localhost : 3130 mlx@Ml 
MZ$ ssh -g -N -f -L 3128 : localhost : 3130 mlx@Ml 

et d'utiliser les redirections comme cela a ete explique plus haut. 

Si vous ne souhaitez rediriger les requetes que pour une machine (site web) en particular vous pouvez creer un tunnel de la 
fa£on suivante : 

MO : $ ssh -N -f -L 3128 : SITEWEB : 3128 mlx@Ml 

ou SITEWEB est l'url du site web que vous souhaitez atteindre (typiquement un webmail). Ici, la configuration du navigateur 
ne change pas. Le proxy est le meme. Vous evitez juste l'utilisation d'un squid si vous n'en avez pas. 

Remarque, dans le navigateur vous pouvez taper tout ce que vous voulez (yahoo, wanadoo, google...) vous arriverez toujours 
sur SITEWEB. 


9.5.2. Autres scenarios 

Si vous avez compris le principe pour le processus decrit ci-dessus, vous pouvez l'appliquer pour tous les autres services 
(messagerie pop ou imap, news, cvs, vnc ...). 

Si un admin faisait trop de retorsion, ne dites plus rien, vous savez maintenant comment vous y prendre. 


9.6. Utilisation de rsync 

rsync est un outil largement utilise pour la synchronisation de repertoires sur la meme machine ou sur des machines distantes. 
(creation de mirroirs distants). 

rsync est interessant car il ne metrta a jour sur le "repository" qui recoit uniquement les fichiers qui ont ete crees ou modifies. 
Cela procure un gain non negligeable par rapport a une simple "recopie" de toute l'arborescence dans le cas ou peu de fichiers 
sont modifies. 

rsync et rsyncd, associes a des scripts et a la crontab, est une option remarquable pour la replication de disques entre 2 ou 
plusieurs machines. 

Si vous souhaitez "mirorrer" un disque local vers un repertoire que vous avez sur une autre machine sur internet, il vous faudra 
egalement passer par une procedure d'authentification. Si vous avez exporter votre cle publique sur la machine distante, vous 
allez pouvoir synchroniser les disques dans un tunnel securise avec ssh et sans avoir a entrer votre mot de passe. Par exemple, 
la commande : 

cd & & rsync -e ssh -valptz * mlx@Ml.foo.org 

synchronisera votre $HOME local, sur le $HOME de la machine distante. 

Il existe bien sur des applications graphiques basees sur le concept rsync. 

Une autre option pour la synchronisation de disques distants est "unison", unison est un produit particulierement performant : 

http : / /www . cis . upenn . edu/ ~bcpierce/unison/index . html 


unison permet l'utilisation en mode commande (scripts) mais propose aussi une interface graphique. 


9.7. Utilisation de SCP et de SFTP 

L'utilisation de ces commandes est relativement simple. SCP permet de faire de la copie de fichier. SFTP est utilisable en 
mode interactif ou en mode batch et ressemble plus au FTP. 


9.7.1. Utilisation de scp 

La commande 


MO : $ 

ssh mlx@Ml . 

. foo . org 

"Is -al 

psionic" 





-rw-r 

— r — 

i 

root 

root 

64562 

Nov 

23 

23:05 

host sentry- 0 . 02-4 . noarch . rpm 

-rw-r 

— r — 

i 

root 

root 

26955 

Nov 

23 

23:05 

logsentry-1 .l.l-l.i386. rpm 

-rw-r 

— r — 

i 

root 

root 

48804 

Nov 

23 

23:06 

portsentry-1 . l-fr7 . i386 . rpm 

-rw-r 

— r — 

i 

root 

root 

48804 

Nov 

23 

23:13 

portsentry-1 . l-fr7 . i386 . rpm. 1 


La commande : 
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ssh mlx@Ml.foo.org "Is -al" 

donne la liste des fichiers distants qui sont dans le repertoire "psionic". Pour copier ces fichiers localement dans un repertoire 
psionic on va utiliser : 

cd && mkdir psionic 

scp mlx@Ml . foo . org: /home/mlx/psionic/* ~/psionic 

Ou pour envoyer les fichiers du repertoire local psionic, vers le repertoire tmp qui est dans /home/mix de la machine 
Ml.foo.org : 

scp ~/psionic/* mlx@foo . org : /home/mlx/tmp 


9.7.2. Utilisation de sftp 

sftp peut etre utilise pour du transfert de fichier en mode securise. 

sftp mlx@Ml.foo.org 
sftp> 


On obtient un prompt, ici le systeme ne m'a pas demande de m'authentifier. Pour avoir une liste des commande, utiliser 
"help". 


sftp> help 
Available commands: 
cd path 
led path 
chgrp grp path 
chmod mode path 
chown own path 
help 

get remote-path [local-path] 
11s [ls-options [path] ] 

In oldpath newpath 

lmkdir path 

lpwd 

Is [path] 
lumask umask 
mkdir path 

put local-path [remote-path] 

pwd 

exit 

quit 

rename oldpath newpath 
rmdir path 
rm path 

symlink oldpath newpath 
version 
! command 


Change remote directory to 'path' 
Change local directory to 'path' 
Change group of file 'path' to 'grp' 
Change permissions of file 'path' to 
Change owner of file 'path' to ’own' 
Display this help text 
Download file 

Display local directory listing 
Symlink remote file 
Create local directory 
Print local working directory 
Display remote directory listing 
Set local umask to 'umask' 

Create remote directory 
Upload file 

Display remote working directory 
Quit sftp 
Quit sftp 

Rename remote file 

Remove remote directory 

Delete remote file 

Symlink remote file 

Show SFTP version 

Execute 'command' in local shell 

Escape to local shell 

Synonym for help 


' mode ' 


9.8. References 

Voir les pages de manuels de ssh et aussi : 

1 . openssh 

2. misemag 

Un article en Frangais de JPG avec la documentation de sftp en Francais:-) 


Chapitre 10. Mettre en place un VPN avec PPP et SSH 


Approche de SSH, de PPP, des VPN et des services mandataires 


10.1. Presentation 

Nous allons voir comment mettre en place un reseau virtuel prive qui s'appuie sur le protocole PPP dans un tunel SSH. Cette 
solution va permettre de mettre en place sur les clients tout type de service mandataire (proxy) pour acceder en toute securite a 
des services serveurs, dans une liaison point a point, et ainsi utiliser des protocoles en toute securite, que ceux-ci soient 
chiffres ou non. 

Si vous ne connaissez pas SSH, je vous recommande de commencer par le document qui aborde le fonctionnement de ce 
protocole et la mise en place de tunnels securises avec ce produit. Certains aspects qui sont abordes ne seront pas repris ici. 


Chapitre 10. Mettre en place un VPN avec PPP et SSH 
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II sera fait reference a la maquette suivante : 


Figure 10-1. Schema maquette 


La machine cliente est sur un reseau prive ou public. Peu importe. II dispose des applications clientes SSH, PPP, d'un UA 
(client de messsagerie) et eventuellement un serveur SMTP pour les besoins de la demonstration. 

Le serveur est sur une adresse publique. Mettre le serveur sur une adresses privee n'est pas compliquee, mais necessite de 
mettre en place des tables de translation d'adresses sur les routeurs. Nous ferons done sans cela pour ne pas multiplier les 
problemes, mais dans la realite les VPN servent surtout a relier deux ou plusieurs reseaux prives distants, relie par un reseau 
public ou "non sur".. 

Le serveur dispose de tous les services (dns, smtp, pop3, imap, proxy http(s) et ftp ...) qui serviront aux tests, d'un serveur sshd 
et d'un serveur pppd pour la creation du VPN et du tunnel. 

Les routeurs relient deux segments distants via internet ou tout autre type de liaison. Ils peuvent etre des pare-feu. 

Voici les adresses ethernet affectees aux machines, et les adresses PPP qui seront utilisees pour le VPN : 


Client Serveur 

ethO 192.168.90.2 195.115.88.38 

pppO 192.168.0.2 192.168.0.1 


10.2. Le protocole PPP 

Sans trop entrer dans les details, nous allons faire un petit tour du protocole PPP puisqu'il en est question dans ce document. 

Le protocole PPP (Point to Point Protocole) est un protocole de niveau 2. II supporte des liaisons point-a point synchrones ou 
asynchrones. 

PPP est compose de trois grandes entites : 

1. Un protocole qui servira a l'encapsulation des paquets avant depot sur le media physique : HDLC. HDLC est un 
protocole de liaison de donnees. 

2. LCP (Link Control Protocol) qui sert a etablir (ou rompre) la liaison, qui permet de la tester et de la configurer. 

3. NCP (Network Control Protocol) qui sert d'interface pour les protocoles de niveau 3. II n'y a pas un (1) protocole 
NCP, mais "n". En effet, chaque protocole de niveau 3 dispose de sa propre interface particuliere. Sur ip, 
l'implementation NCP se nomme IPCP (IP Control Protocol). 

Un paquet PPP peut vehiculer plusieurs protocoles de niveau 2 ayant chacun un role, ou des paquets contenant des donnees de 
niveau 3. Voici quelques exemples avec les numeros de protocoles. 

1. h021, indique un transport de donnees IP 

2. 8021, IPCP. Ce protocole permet de determiner les adresses de la liaison point a point entre les deux noeuds 
distants. Affectation statique ou dynamiquedes adresses, compression des entetes IP... 

3. C021, paquet contenant des donnees LCP 

4. C023, paquets de type PAP, Password Authentification Protocole 

5. C223, paquet sde type CHAP, Challenge Handshake Authentification. 

Les numeros de protocoles sont stocke dans un champ "controle" du paquet PPP. PAP et CHAP servent a l'authentification des 
utilisateurs. 


10.3. Configuration et installation du VPN 

Preparation du client et du serveur. 


10.3.1. Premiere etape : configuration de SSH 

La premiere chose a faire est de mettre en place un moyen de lancer le daemon pppd chaque fois que vous voudrez mettre en 
place un VPN entre votre client et le serveur. II y deux solutions. Soit vous creez un compte specifique sur le serveur (ce que 
nous allons faire), et qui aura en charge de lancer le daemon, soit vous utilisez votre propre compte. Dans un cas comme dans 
l'autre, la procedure est tres similaire. 

Sur le serveur, creez un compte VPN : 

adduser — disabled-password vpn 

On donne le droit a cet utilisateur de lancer pppd. 11 faut rajouter une ligne dans le fichier. 

serveur# visudo /etc/sudoers 
# Ajoutez la ligne suivante 


58 


10.2. Le protocole PPP 






Tutoriel sur les serveurs 


vpn ALL=NOPASSWD : /usr/sbin/pppd 

Comme la liaison sera chiffree dans un tunnel SSH, il est necessaire de mettre egalement un moyen qui permette cela le plus 
simplement possible. Cela est realise par un systeme de cle publique et privee. Si vous n'en avez pas vous pouvez vous en creer 
une. Ne mettez pas de mot de passphrase (vous faites entree, ce n'est pas vraiment utile. Vous etes sur le client : 

[client] $ ssh-keygen -t dsa 
Generating public/private dsa key pair. 

Enter file in which to save the key ( /client /. ssh/id_dsa) : 

Enter passphrase (empty for no passphrase) : 

Enter same passphrase again: 

Your identification has been saved in /client /. ssh/id_dsa . 

Your public key has been saved in /client/ . ssh/id_dsa .pub . 

The key fingerprint is: 

c5:a5:90:b2:19:9d:bf:3a:0b:c9:64:f7:98:le:e0:dc client @mr 


Vous avez la cle publique et la cle privee sur le client, dans votre repertoire personnel et dans le sous-repertoire ".ssh". II vous 
faut copier la cle publique sur le serveur. 

scp . ssh/id_dsa . pub VotreCompteSurLeServeur0serveur: 

Maintenant il ne reste plus qu'a declarer cette cle publique comme valide et utilisable par le compte "VPN". Vous etes sur le 
serveur. 


serveur# mkdir -p /home/vpn/ . ssh 

serveur# cat /home/VotreCompteSurLeServeur/id_dsa.pub » \ 

/home/vpn/ . ssh/authorized_keys2 

serveur# chmod 700 /home/vpn/ . ssh && chmod 600 /home/vpn/ . ssh/authorized_keys2 

Normalement vous devriez pouvoir vous connecter a partir du client sur le serveur en utilisant le compte VPN sans entrer de 
mot de passe. 

[client] $ ssh -1 vpn serveur 

Si cela ne fonctionne pas, et que le serveur sshd est actif, verifiez que vous n'avez pas commis d'erreur de manipulation. 
Reprenez bien la procedure. 

Si le serveur vous demande un mot de passe et que l'acces fonctionne en mettant un mot de passe, c'est que vous avez saisi une 
"passphrase". Utilisez ssh- agent et ssh- add pour ne plus avoir a sasir de mot de passe. 

Si tout fonctionne, c'est termine. 

Si d’autres personnes veulent mettre en place des VPN sur le serveur, il suffit de rajouter leurs cles publique dans le fichier 
authorized_keys2. 

Si vous ne voulez pas utiliser de compte "VPN" ou autre mais le votre, il suffit de modifier le fichier sudoers en mettant votre 
compte a la place de "vpn". 


10.3.2. Test de la connexion 

Il faut maintenant pouvoir activer et/ou desactiver le VPN a la demande. Nous allons pour cela, utiliser un script que vous 
pourrez adapter. 

# ! /bin/sh 

# /usr/local/bin/vpn-pppssh 

# 

# This script initiates a ppp-ssh vpn connection. 

# see the VPN PPP-SSH HOWTO on http://www.linuxdoc.org for more information. 

# 

# revision history: 

# 1.6 ll-Nov-1996 miquels@cistron.nl 

# 1.7 20-Dec-1999 bart@jukie.net 

# 2.0 16-May-2001 bronson@trestle.com 


# 

# You will need to change these variables... 

# 


# The host name or IP address of the SSH server that we are 

# sending the connection request to: 

SERVER_HOSTNAME=serveur . votredomaine . org 

# The username on the VPN server that will run the tunnel. 

# For security reasons, this should NOT be root. (Any user 

# that can use PPP can intitiate the connection on the client) 
SERVER_USERNAME=vpn 

# The VPN network interface on the server should use this address: 
SERVER_IFIPADDR=1 92 .168.0.1 
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# ...and on the client, this address: 
CLIENT_IFIPADDR=1 92 .168.0.2 


# This tells SSH to use unprivileged high ports, even though it's 

# running as root . This way, you don't have to punch custom holes 

# through your firewall. 

LOCAL_SSH_OPTS="-P" 


# 

# The rest of this file should not need to be changed. 

# 


PATH=/usr / local /sbin :/sbin:/bin:/usr/sbin:/usr/bin:/usr/bin/Xll/: 

# 

# required commands. . . 

# 

PPPD=/usr/ sbin/pppd 
SSH=/usr/bin/ssh 

if ! test -f $PPPD ; then echo "can't find $PPPD"; exit 3; fi 
if ! test -f $SSH ; then echo "can't find $SSH"; exit 4; fi 


case "$1" in 
start) 

echo -n "Starting vpn to $SERVER_HOSTNAME : " 

# Modifier les 3 lignes ci-dessous afin d'oter les \ et les CR/LF 
$ { PPPD } updetach noauth passive pty "${SSH) $ {LOCAL_SSH_OPTS } \ 

$ { SERVER_HOSTNAME } -1$ { SERVER_USERNAME ) sudo ${PPPD} nodetach\ 
notty noauth" ipparam vpn $ { CLIENT_IFIPADDR} : $ { SERVER_IFIPADDR} 
echo "connected." 


stop) 

# echo -n "Stopping vpn to $SERVER_HOSTNAME : " 

# Modifier les 2 lignes ci-dessous afin d'oter les \ et les CR/LF 

PID='ps ax | grep "${SSH} $ { LOCAL_SSH_OPTS } $ { SERVER_HOSTNAME } \ 

-1$ { SERVER_USERNAME ) " | grep -v ’ passive 1 | grep -v 'grep '\ 

awk ' {print $1 } ' 
if [ " $ { P ID } " ! = "" ]; then 

kill $P ID 

echo "Kill $PID, disconnected." 
else 

echo "Failed to find PID for the connection" 
fi 


conf ig) 

echo "SERVER_HOSTNAME=$SERVER_HOSTNAME " 
echo " S E RVE R_U S E RN AME = $ S E RVE R_U S E RNAME " 
echo "SERVER_IFIPADDR=$SERVER_IFIPADDR" 
echo "CLIENT_IFIPADDR=$CLIENT_IFIPADDR" 


*) 

echo "Usage: vpn { start I stop I config} " 
exit 1 

esac 
exit 0 


Pour l'utiliser, il suffit de faire un "./vpn start". Si vous obtenez quelque chose proche de cela, c'est que votre vpn est bien cree. 

[root]# ./vpn-pppssh start 

Starting vpn to serveur: Using interface pppO 
Connect: pppO < — > /dev/pts/1 

Looking for secret in /etc/ppp/pap-secrets for client mr server (null) 

Looking for secret in /etc/ppp/chap-secret s for client mr server (null) 

Deflate (15) compression enabled 
local IP address 192.168.0.2 
remote IP address 192.168.0.1 
connected. 

Sur le client et sur le serveur, les interfaces pppO doivent etre actives : 

# Sur le client, ifconfig 

pppO Lien encap : Protocole Point-a-Point 

inet adr : 1 92 . 1 68 . 0 . 2 P-t-P : 192 . 168 . 0 . 1 Masque : 255 . 255 . 255 . 255 
UP POINTOPOINT RUNNING NOARP MULTICAST MTU: 1500 Metric:! 
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RX packets: 126 errors: 0 dropped: 0 overruns :0 frame :0 
TX packets: 102 errors: 0 dropped: 0 overruns :0 carrier :0 
collisions:0 lg file transmission^ 

RX bytes : 10139 (9.9 Kb) TX bytes:9029 (8.8 Kb) 

# Sur le serveur, ifconfig 

pppO Lien encap : Protocole Point-a-Point 

inet adr : 1 92 . 1 68 . 0 . 1 P-t-P : 1 92 . 1 68 . 0 . 2 Masque : 255 . 255 . 255 . 255 
UP POINTOPOINT RUNNING NOARP MULTICAST MTU: 1500 Metric :1 
RX packets: 102 errors: 0 dropped: 0 overruns :0 frame :0 
TX packets: 126 errors: 0 dropped: 0 overruns :0 carrier :0 
collisions:0 lg file transmission^ 

RX bytes : 902 9 (8.8 KiB) TX bytes:10139 (9.9 KiB) 


Le protocole a installe les routes de ces interfaces et qui viennent completer celles deja existantes : 

# Sur le client : 

[Client]# route -n 
Table de routage IP du noyau 
Destination Passerelle 

192.168.0.1 0.0. 0.0 


# Sur le serveur 
Table de routage IP du noyau 
Destination Passerelle 

192.168.0.2 0.0. 0.0 

Sur le client, les commandes : 

ping 192.168.0.1 
ping 192.168.0.2 

fonctionnent. Le routage est done bien actif entre ces interfaces, nous allons pouvoir faire fonctionner des applications clientes 
et serveur sur ce canal. 


Genmask Indie Metric Ref 

255.255.255.255 UH 0 0 


Use Iface 
0 pppO 


Genmask Indie Metric Ref 

255.255.255.255 UH 0 0 


Use Iface 
0 pppO 


10.4. Explication sur le fonctionnement de la maquette 


Figure 10-2. Schema du dialogue 


Sur le client, les applications sont configurees pour utiliser l'adresse ip affectee a pppO. Le dialogue peut etre effectue sans 
chiffrement. Le paquet est delegue a SSH qui va chiffrer puis deposer le paquet sur ethO. 

Sur le serveur les paquets arrivent chiffres sur ethO. Ils sont dechiffres par SSH et routes sur l'interface pppO du serveur qui 
les delivre au service serveur. 

Cela presente bien sur un inconvenient. Celui de charger les processeurs et la bande passante bien que PPP supporte la 
compression des donnees. II n'est pas toujours facile de trouver un bon compromis entre des options de securite par chiffrement 
tout en tenant compte des couts que cela induit. 


Figure 10-3. Encapsulation des frames 


Le schema montre que chaque paquet subit deux traitements de plus que s'il etait traite normalement pour remission, ce qui en 
genere egalement deux de plus lors de la reception. 


10.5. L'analyse de frame 

L'objet de cette manipulation est de verifier simplement le bon fonctionnement du vpn a l’aide d’une requete DNS (dig 
www.yahoo.fr) entre le client et le serveur. La capture intercepte ce qui se passe sur ethO et pppO. 

Le fichier resolv.conf est configure pour utiliser le serveur de nom : 

[client]# more /etc/resolv. conf 
nameserver 195.115.88.38 

Les requetes passent dans ce cas par ethO. 


10.4. Explication sur le fonctionnement de la maquette 
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Sur pppO rien ne passe, sur ethO par contre, il y a du traffic. 

[client]# ettercap -T -i ethO 
Listening on ethO... (Ethernet) 

ethO -> 00:90:F5:28:D5:06 192.168.90.2 255.255.255.0 

Mon Nov 22 10:11:59 2004 
UDP 192.168.90.2:32885 — > 195.115.88.38:53 | 

. } www . yahoo . com 


II s'agit bien d'une requete UDP qui est passee sur ETHO, en utilisant comme source 192.168.90.2:32885 et a destination de 
195.115.88.38:53. Le traffic n'est pas chiffre. 

On va modifier le resolv.conf afin que les requetes passent par le VPN. 

nameserver 192.168.0.1 

Et on lance la capture sur pppO : 

[client]# ettercap -T -i pppO 

pppO -> 00:00:00:00:00:00 192.168.0.2 255.255.255.255 

Mon Nov 22 10:24:04 2004 
UDP 192.168.0.2:32885 — > 192.168.0.1:53 

iF www . yahoo . com 

Mon Nov 22 10:24:04 2004 
UDP 192.168.0.1:53 — > 192.168.0.2:32885 

Maintenant on a bien un traffic sur pppO. Noter qu'elle n’a pas d’adresse MAC car c'est une interface logique. II s'agit bien d'une 
requete UDP de 1'hote source 192.168.0.2:3288 vers l'hote destination 192.168.0.1:53. Ici le traffic n'est pas chiffre. 

On la lance egalement sur ethO : 

[client]# ettercap -T -i ethO 
Listening on ethO... (Ethernet) 

ethO -> 00:90: F5:28:D5:06 192.168.90.2 255.255.255.0 

Mon Nov 22 10:20:39 2004 

TCP 195.115.88.38:22 — > 192.168.90.2:33102 | AP 
. . ! . .O.R$ . [NP . . . <G . O ._uRH?0 . " . ,M36< . Gd. ? . . . .Vx. 

Mon Nov 22 10:20:39 2004 

TCP 192.168.90.2:33102 — > 195.115.88.38:22 | AP 

8 . . 1 . xV . ...]... . D . . q . 7 : 3y . % . & . J . . 2 . . 8 . Qp% . 

La le dialogue n'est plus dirige vers de l'UDP/53 mais vers du TCP/22. II s'agit bien de SSH et plus rien n’est lisible. 

La maquette fonctionne parfaitement, le service mis en place est le premier service proxy actif. II s'agit d'un service proxy 
DNS. 


10.6. Les services pop, imap et smtp 

Pour les services pop et imap il n'y a aucun difficulte. II suffit de configurer le client pour qu'il releve les courriers sur 
192.168.0.1. 

En ce qui concerne SMTP il y a deux scenarios posibles : 

1 . utiliser directement le serveur smtp qui est sur le serveur, 

2. utiliser un serveur smtp qui est sur sa propre machine comme cela se fait frequemment. 

Dans le premier cas, la procedure est assez simple. Dans la configuration de votre client de messagerie (parametre envoie de 
message), vous mettez 192.168.0.1, c'est a dire l’adresse du serveur. 

Si vous utilisez votre propre serveur SMTP local sur le client, il faut mettre l’adresse du client : 192.168.0.2. 

Mais cela ne suffit pas. Par defaut, si vous ne precisez rien, un serveur SMTP envoie le message directement au destinataire. 
C'est la fonction de routage du service SMTP qui assure cela. Il se base sur l’enregistrement MX de la zone destinataire. Pour 
faire cela, il faut configurer le serveur SMTP pour qu’il utilise l’interface ethO et non pas pppO. La configuration du client de 
messagerie contient, dans ce cas, l’adresse ip de ethO, mais en faisant cela, on utilise plus du tout le VPN. 

Pour utiliser le VPN mis en place, il faut indiquer au serveur SMTP local de ne pas envoyer directement les messages sur 
internet vers le destinataire, mais de les faire relayer par le serveur smtp du serveur. 

Comment configurer cela ? 

On va prendre comme exemple Postfix. 

Sur le client, il faut ajouter un parametre dasn /etc/postfix/main.cf : 

relayhost = 192.168.0.1 # On de mande au s"erveur de relayer 
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pour indiquer au serveur smtp local, que les messages seront relayes par le serveur d'adresse 192.168.0.1. 

Maintenant le serveur. II faut lui indiquer qu'il doit accepter et traiter les paquets provenant de l'adresse 192.168.0.2, voire 
carrement d'un reseau 192.168.0.0/24 car postfix est generalement configure pour ne pas relayer les messages qui ne 
proviennent pas de son reseau. 

Sur le client il faut rajouter un parametre dans /etc/postfix/main.cf, et ajouter a la variable "mynetworks", l'adresse du VPN : 

# Vous pouvez en avoir d'autres. 
mynetworks = 127.0.0.1/32, 192.168.0.0/24 

a partir de ce moment, il est possible d'utiliser son service SMTP local pour ne pas changer ses habitudes, cela, en toute 
securite quel que soit l'endroit ou on se trouvons. (Du moins entre les deux points du VPN) et avec l'enorme avantage d'utiliser 
un serveur SMTP declare ou officiel qui repond au contraintes de plus en plus draconniennes que mettent en place les FAI et 
les administrateurs systemes. 


10.7. Les services HTTP(s) et FTP 

La mise en place d'un service proxy squid, ne pose pas non plus de difficult^ une fois le VPN installe. Il doit falloir moins de 
3 minutes pour installer Squid sur une debian. Ensuite il faut juste lui indiquer les machines dont il doit traiter les requetes. 

Comme le service sera installe sur un serveur public, on fera attention aux autorisations donnees afin de limiter les risques. 
Cela se passe dans le fichier de configuration "/etc/squid. conf" et dans le paragraphe qui decrit les ACL. 

On declare une nouvelle ACL, et on autorise les machines qui repondent a ce critere : 

acl vpn src 192.168.0.0/255.255.255.0 
http_access allow vpn 

Pour le serveur c'est termine. 

Il ne reste plus qu'a configurer les clients d'acces (navigateur) pour qu'ils utilisent le proxy : 192.168.0.1. 

La encore toutes les transactions entre le client et le serveur seront chiffrees, et on beneficie en plus d’un serveur de cache. 


10.8. Conclusion 

Cette solution est assez simple a mettre en place. Elle est particulierement interessante pour les clients nomades. Ils peuvent, 
quelque soit l’endroit ou ils se trouvent, mettre en place un VPN entre le client et un serveur, sans avoir a se soucier de l’etat du 
reseau sur lequel ils se trouvent, et peuvent utiliser quasiment tous les services reseau sans se preoccuper des regies installees 
sur les parefeu, puisque tous les services sont routes dans le meme tunnel. 
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Chapitre 11. Les fichiers hosts 
Resolution de noms et adressage statique 

Resolution de noms et adressage statique 


Mettre en place et comprendre la resolution de noms d’hotes. 


11.1. Presentation 

L’atelier presente la resolution de noms d’hotes sur un petit reseau a l’aide d’un fichier hosts. 
Vous utiliserez la commande ping pour diagnostiquer le fonctionnement du reseau. 

Il est en 3 parties : 

• une presentation de la resolution de nom sur un reseau local, 

• un TP, 

• un questionnaire. 


Chapitre 1 1 . Les fichiers hosts 
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11.1.1. Avant de demarrer 

Vous devez connaitre la classe d'adresse de votre reseau. Vous devez connaitre egalement les adresses des hotes que vous 
voulez adresser ainsi que leurs noms d'hotes. 


11.1.2. Fiche de cours 

Dans un reseau, on assigne generalement un nom a chaque hote. Le terme d'hote est pris dans son sens large, c'est a dire un 
« noeud de reseau ». Une imprimante, un routeur, un serveur, un poste de travail sont des noeuds qui peuvent avoir un nom 
d'hote, s'ils ont une adresse IP. 

On park de « nom d'hote » sur les reseaux qui utilisent le protocole TCP/IP. Ne pas confondre le « nom d'hote » avec 
le « nom Netbios » qui est utilise sur les reseaux Microsoft" ou IBM. 

Le nom d'hote est assigne a un noeud qui est configure avec une adresse IP. Le nom permet d'adresser le noeud, autrement 
qu'avec l'adresse IP. Par exemple, si le reseau est equipe d'un serveur d'adresse 192.68.0.100 et dont le nom d'hote est srvl, il 
sera alors possible de saisir les commandes suivantes : 

telnet 192 . 68 . 0 . 100 ou bien 

telnet srvl 

Le nom sert de mnemonique, qui evite de retenir toutes les adresses IP du reseau. Le protocole TCP/IP se charge de la 
resolution des noms d'hotes, ensuite le protocole ARP, se charge de la resolution des adresses IP en adresses MAC (Ethernet le 
plus souvent). 

Pour que la resolution de nom fonctionne, il faut declarer dans un fichier tous les noms d'hotes, et pour chaque nom, son 
adresse IP. Cette declaration est realisee dans le fichier /etc/hosts. 

Le processus de resolution equivalent peut etre mis en oeuvre sur des reseaux qui utilisent Windows 9x, Windows NT 
Server, Windows NT Workstation. Vous devrez alors creer les fichiers respectivement dans les repertoires Windows et 
winnt\system32\drivers\etc. Vous trouverez dans ces repertoires, si TCP/IP est installe un fichier host . sam 
qui peut vous servir d'exemple 


11.2. Travaux Pratiques 

Vous utiliserez un editeur joe ou emacs afin de modifier le fichier /etc/hosts. Utilisez l'algorithme suivant pour 
creer / modifier votre fichier : 

Pour chaque hote du reseau faire 

mettre un enregistrement 

Fin pour 


Les enregistrements ont la structure suivante : AdresselP Noml [...NomN] 

Exemple : 195.115.88.35 foo foo.foo.org becassine 
Consultez egalement la commande man hosts 

• Etablissez la nomenclature des machines du reseau. Configurez le fichier host avec la nomenclature. Testez la 
resolution de nom avec la commande ping, puis en utilisant les services telnet et ftp. 

• Modifiez la correspondance Nom / Adresse dime des machines que vous avez dans votre fichier host et accedez-y 
avec telnet. Que se passe-t-il ? 

• Debranchez la jarretiere de votre carte reseau, et reutilisez les commandes ping localhost , ping 127 . 0 . 0.1 , 
ping UneMachlneDlstante. Que se passe-t-il et que peut-on en deduire ? 

Attention, plus tard nous verrons la resolution de nom par un autre service DNS. Les deux solutions (DNS et Hosts) ne sont pas 
exclusives, par contre on peut jouer sur l'ordre qui doit etre applique. Cela est traite par le fichier de configuration 

/ etc /host . conf. 

$ more /etc/host . conf 
order hosts, bind 


Il faut bien se souvenir de 5 a, car dans l'exemple donne ci-dessus, le fichier hosts est prioritaire sur DNS. 
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11.3. Questions 

• Quelle est la commande qui permet d'obtenir le nom d'hote de la machine locale ? 

• Quelles sont les informations que donne la commande ifconfig ? 

• Donnez la commande qui permet de n'envoyer qu'un seul ping a une machine distante (voir man ping) 

• Quelle est la taille d'un paquet envoye par la commande ping ? 

• Quelle est la commande qui permet d'envoyer des paquets de 1500 octets ? 

• Quelle est la commande ping qui permet d'envoyer des paquets en Hot ininterrompu ? 

• Quel protocole utilise la commande ping ? 


Chapitre 12. Installation d'un serveur HTTP 

Les services web - Fiche de cours 

Les services web - Fiche de cours 


Configuration d'un serveur Apache et mise en place de services web 

Vous pourrez recuperer les documents necessaires sous forme d'archives sur le serveur de linux-france. Pour 
cela voir la page d'introduction du document. 


12.1. Resume 

Installation et configuration d'un serveur HTTP avec Apache. 

Mots cles « Serveur Web », « Serveur HTTP », « Apache » 
Description et objectifs de la sequence 

Le document doit vous permettre de mettre en place un serveur Apache supportant : 

• des acces anonymes, 

• des acces authentifies par Apache, 

• un acces a des pages personnelles, 

• mettre en place des scripts CGI, 

• mettre en place des serveurs web virtuels. 


12.2. Presentation du serveur Apache 

Ce chapitre donne un apergu des fonctions et de l'environnement du serveur Apache. Vous pourrez retrouver tous les aspects 
developpes dans la documentation du produit. 

II existe des outils graphiques de configuration et d'administration d' Apache. Vous allez realiser les TP(s) de cet atelier en 
mode commande. 


12.2.1. Presentation de l'environnement 

• le binaire apachectl est dans /usr/sbin, 

• les fichiers de configuration sont dans /etc/apache/ 

• la documentation est dans /usr/share/doc 

• Le script de lancement du service serveur dans /etc/init . d 

• Les journaux sont dans /var/log/ apache/ 

Faites une copie de sauvegarde des fichiers de configuration avant toute manipulation. 


12.2.2. Installation d'un service minimum 

Ce paragraphe decrit les principaux parametres pour mettre en place un service HTTP minimum, avant de lancer le service 
serveur. Vous utiliserez le fichier de configuration d'Apache httpd . conf . 

• port 80, indique quel est le port utilise par le service (par defaut 80). II est possible d'utiliser un autre port, par contre 
vous devrez specifier au navigateur quel est le port utilise par le serveur. Si vous configurez par exemple le port 8080 
sur une machine www . MonDomaine . edu, vous devrez specifier dans le navigateur 

www . MonDomaine . edu : 8 0 8 0, pour que le serveur re£oive et traite votre requete. 

• user www-data et group www-data, specifient le compte anonyme utilise par le serveur une fois qu'il est lance. En 
effet, pour acceder aux ports inferieurs a 1024, le serveur utilise un compte administrateur, ce qui presente des 
dangers. Une fois le processus actif, il utilisera l'UID d'un autre compte (ici nobody). Ce compte doit pouvoir lire les 
fichiers de configuration et ceux de la racine du serveur HTTP. D'autres distributions utilisent le compte 

« nobody » ou « apache » 
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• ServerAdmin root@localhost, precise quel est le compte qui re£oit les messages. Par defaut le compte administrates 
sur la machine locale (a modifier pour une adresse comme root@MonDomaine . edu). 

• ServerRoot / etc /apache, indique l'adresse du repertoire racine du serveur, ou sont stockes les fichiers de 
configuration du serveur HTTP. Cette adresse peut etre modifiee. 

• ErrorLog, fichier error_log, journalisation des erreurs. L'adresse est calculee a partir de ServerRoot. Si ServerRoot 
est /etc/httpd et ErrorLog logs/error_log, le chemin complet est / var/log/ apache/logs/error_log. 

• ServerName www.MonDomaine.edu, indique le nom ou l’alias avec lequel la machine est designee. Par exemple, 
Ihote nsl . MonDomaine . edu, peut avoir le nom d’alias www . MonDomaine . edu. Voir la resolution de nom avec 
un DNS. 

• DocumentRoot /var/www, indique l’emplacement par defaut des pages HTML quand une requete accede au serveur. 
(exemple : la requete http://www.MonDomaine.edu/index.html pointe en fait sur le fichier local 
/home/httpd/html/index . html) . 

• ScriptAlias /cgi-bin/ /usr/lib/cgi-bin, de la forme "ScriptAlias LakeName RealName", indique ou sont physiquement 
situes les scripts sur le disque, ainsi que l’alias utilise par les developpeurs pour le developpement des scripts et des 
pages. Un developpeur utilisera un lien (exemple : /cgi-bin/NomDuScript ou /cgi-bin/ est un alias sur 
/home/httpd/cgi-bin/), et c'est le script /home/httpd/cgi-bin/NomDuScript qui sera effectivement execute. La mise en 
place d’alias permet de restructurer ou deplacer un serveur sans avoir a modifier toutes les pages developpees. 

• UserDir public_html, ce parametre decrit le processus utilise pour acceder aux pages personnelles d’une personne, si 
ces pages sont stockees dans son repertoire personnel. Supposons que vous etes l’utilisateur "bestof" du reseau et que 
vous ayez des pages personnelles. II sera possible d’acceder a vos pages, avec l’adresse suivante: 
www.MonDomaine.edu/~bestof/index.html. Le (tilde "~") permet d’acceder a votre repertoire personnel. La requete 
sera reellement executee sur "/home/bestof/public_html/index.html. 

Attention, verifier que le repertoire personnel ne soit pas en mode 700, car personne ne pourrait acceder aux pages 
personnelles. 

• Alias /CheminVu/ /CheminReel/, par exemple : "/icons/ /usr/share/apache/icons/", ce parametre permet de renommer, 
a la maniere d’un lien logique, un emplacement physique avec un nom logique. 

Exemple: vous voulez que www.MonDomaine.edu/test/index.html, ne corresponde pas physiquement a un repertoire 
sur la racine du serveur HTTP mais a un emplacement qui serait /usr/local/essai. Vous pouvez mettre dans le fichier 
de configuration d’Apache un alias de la forme: alias /test/ /usr/local/essai/ 

• Directorylndex donne le ou les noms des fichiers que le serveur doit rechercher si le navigateur passe une requete sur 
un repertoire. Par exemple sur une requete http://www.MonDomaine.edu, le serveur va rechercher dans l'ordre s’il 
trouve un fichier index.html, index.stml, index.cgi... en fonction des parametres de cette variable. 

• Les fichiers .htaccess : Apache permet de securiser les acces repertoire par repertoire. 11 est possible de definir, le nom 
du fichier qui contiendra les possibilities d'acces par un utilisateur a un repertoire donne. Par defaut la valeur est 
.htaccess. Ce parametre est modifiable. 

• Limitations de la securite par repertoire: ce procede alourdit la charge du serveur. En effet, si une requete est passee 
sur www.MonDomaine.edu/repl/rep2/index.html, le serveur va verifier dans chaque repertoire repl, rep2... l'existence 
d'un fichier .htaccess. Ce sont les regies du dernier fichier qui seront appliquees. Ce processus est mis en oeuvre pour 
chaque acces. Cette directive est done a utiliser avec beaucoup de parcimonie car elle cree une surcharge pour le 
serveur. 

La directive AllowOverride None, permet de desactiver 1'utilisation des fichiers .htaccess dans les niveaux inferieurs. 
La directive AllowOverride peut etre utilisee avec d'autres options par exemple: AuthConfig. 

Les fichiers .htaccess peuvent, s'ils sont presents specifier leurs propres directives d'authentification, 

La directive ExecCGI, permet l'execution de scripts cgi dans ce repertoire. 

• Securiser un repertoire en autorisant/refusant faeces 

Pour chaque repertoire "UnRepertoire", sur lequel on desire avoir une action, on utilisera la procedure suivante: 


<Directory UnRepertoire> 
...Ici mettre les actions... 
</Directory> 


Tout ce qui est entre les balises s'applique au repertoire "UnRepertoire". 

Exemple: On desire autoriser l'acces du repertoire "/intranet" aux machines du reseau d'adresse 192.168.1.0/24 et de 
nom de domaine MonDomaine.edu, et l'interdire a tous les autres. 

<Directory /intranet> 

#Ordre de lecture des regies 
order allow, deny 
deny from all 

allow from 192.168.1 #ou encore allow from .MonDomaine.edu 
</Directory> 


II importe de preciser dans quel ordre les regies de restriction vont etre appliquees. Cet ordre est indique par le mot 
reserve « order », par exemple « order deny.allow » (On refuse puis on alloue l'acces a quelques adresses, 
c'est a dire que toutes les regies deny vont etre lues d’abord, puis ce sera le tour de toutes les regies allow) ou « order 
allow.deny » (on accepte generalement les acces mais il sont refuses pour quelques adresses : ici, on prend en 
compte en premier lieu toutes les regies allow dans l'ordre trouve, puis ensuite toutes les regies deny). 

Exemple: On desire que l'acces soit majoritairement accepte, sauf pour un ou quelques sites. 
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<directory /home/httpd/html> 

AllowOverride none 
Order deny, allow 

deny from pirate.com badboy.com cochon.com 

allow from all 

</directory> 

• Authentifier Faeces a un repertoire : ce precede va permettre de securiser Faeces a un repertoire ou a des fichiers. 
L'acces sera autorise a une ou plusieurs personnes ou encore a un ou plusieurs groupes de personnes. 

AuthName, definit ce qui sera affiche au client pour lui demander son nom et son mot de passe, 

AuthType, definit le mode d'authentification et d'encryptage « basic » avec HTTP/O ou « MD5 » par exemple 
avec HTTP/1. 

AuthUserFile, definit le fichier qui contient la liste des utilisateurs et des mots de passe. Ce fichier contient deux 
champs (Nom d'utilisateur. Mot de passe crypte). Vous pouvez creer ce fichier a partir du fichier /etc/passwd 
(attention ! faille de securite. II n'est pas forcement avise d'avoir le meme mot de passe pour acceder a Linux et pour 
acceder a un dossier Web) ou avec la commande "htpasswd" d' Apache. 

Exemple du mode d'utilisation de la commande "htpasswd" : 

root @mr : /home# htpasswd — help 

htpasswd [-cmdps] passwordfile username 
-c Create a new file. 

#> htpasswd -c /etc/apache/users mix 

Ici on cree le fichier /etc/apache/users et on ajoute un compte. 

N'utiliser 1* option "-c" que la premiere fois. 

AuthGroupFile definit le fichier qui contient la liste des groupes et la liste des membres de chaque groupe. 

Require permet de definir quelles personnes, groupes ou listes de groupes ont une permission d'acces. 

Exemple de fichier AuthUserFile : 

doudou:zrag FmlkSsSjhaz 
didon : PsddKf dqhgf . f LTER 


Exemple de fichier AuthGroupFile : 

users: tintin milou haddock dupond dupont tournesol 
tournesol dupont 

Exemple d'autorisation : 

require user tintin dupond /* tintin et dupond ont un acces */ 

require group users /* le groupe users a un acces */ 

require valid-user /* toute personne existant dans AuthUserFile */ 

Exemple d'acces securise sur un repertoire : 

<Directory /home/httpd/html/ intranet/> 

AuthName PatteBlanche 
AuthType basic 

AuthUserFile /etc/httpd/ conf /users 
AutGroupFile /etc/httpd/ conf /group 

<Limit GET POST>#Ici il faudra un mot de passe 
require valid-user 
</Limit> 

</Directory> 


Voici la fenetre securisee que propose Netscape sur FURL http://localhost/essai: 


Figure 12-1. Acces securise sur un repertoire par Apache 


La declaration d'un acces authentifie sur un repertoire est faite dans le fichier de configuration d'Apache, ou alors en creant un 
fichier ".htaccess" dans le repertoire que l'on souhaite securiser. Le fichier ".htaccess" contient les memes directives que celles 
qui auraient ete declarees dans le fichier httpd.conf. 

Attention : 

Si vous mettez les clauses d'acces restreint pour un 

repertoire dans le fichier de configuration d'Apache, les clauses 

seront incluses entre 2 balises : 

<Directory . . . > 

</Directory ...> 

Si vous mettez les clauses de restriction dans un fichier ".htaccess". 
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vous n'avez pas besoin de mettre ces balises. 

12.2.3. Activation du serveur 

Utilisez les commandes suivantes pour activer, desactiver le serveur: 

/etc/init.d/apache start 
/etc/init.d/apache stop 
/etc/rc.d/init.d/apache status 

Pour relire le fichier de configuration alors qu' apache est deja lance, utilisez : 

/etc/init.d/apache reload 

Pensez dans tous les cas a consulter les journaux afin de detecter les dysfonctionnements. 

12.2.4. Test de la configuration 

Lancez le navigateur et tapez l'url http://localhost. Vous devriez pouvoir utiliser indifferemment l'adresse IP ou le nom d'hote 
de votre machine. Vous devez egalement pouvoir acceder a partir des autres machines de la salle. 


12.3. Questions 

• Quel protocole et quel port utilise le serveur Apache ? 

• Comment se nomme le principal fichier de configuration d'Apache, et ou se trouve-t-il ? 

• Dans quel repertoire sont situees les pages du serveur ? 

• Vous modiftez le port d'utilisation du serveur et vous faites un essai a partir d'un client. L'acces ne fonctionne pas. 
Donnez au moins deux raisons possibles et les moyens de remedier a ce probleme. 

• Quel est le parametre qui permet l'utilisation de repertoires personnels pour les utilisateurs afin de deployer leurs sites 
WEB personnels ? 

• Vous activez le parametre du repertoire personnel dans Apache et relancez le serveur. Vous essayez l'acces sur votre 
compte or il est refuse. Que se passe-t-il et comment corriger le probleme ? 

• Dans quels repertoires se trouvent les fichiers log d'Apache et comment se nomment ces fichiers ? 


Chapitre 13. TP 1 : installation d'un serveur HTTP 

13.1. Resume 

Installation d'un serveur WEB - TP(s) 

La sequence est bade pour des travaux realises avec plusieurs machines. Certaines parties pourront etre realisees sur votre 
propre machine, celle-ci servant de client et de serveur. 

Vous devez avoir un navigateur d'installe, par exemple mozilla, konqueror, galeon... 

La resolution de noms doit fonctionner. 

Attention : Les parametres peuvent differer d'une version d I'autre de Linux ou d'une distribution d I'autre. J'utilise dans ce 
document des variables, vous devrez }’ substituer les valeurs reelles de votre environnement. 

• $APACHE_HOME, repertoire dans lequel sont stockees les pages du serveur. 

• $APACHE_CONF, repertoire dans lequel sont stockes les fichiers de configuration. 

• $APACHE_USER, compte utilisateur sous lequel fonctionne Apache. 

• $APACHE_GROUP, groupe auquel est rattache le compte $APACHE_USER. 


13.2. Installation d'un serveur Web 

13.2.1. Introduction 

Vous allez realiser les operations suivantes: 

• configurer le serveur HTTP pour qu'il soit active en mode standalone 

• activer le serveur HTTP, 

• tester le fonctionnement du serveur 

A la fin vous devriez pouvoir acceder sur toutes les machines (serveurs HTTP) du reseau a partir du navigateur client. 
Attention Vous utiliserez les elements donnes dans la fiche de cours. 
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13.2.2. Configuration du serveur 

Vous allez realiser une configuration de base du serveur. Vous allez done modifier le fichier httpd.conf. Avant toute 
modification, faites une copie de sauvegarde des fichiers. 

Ouvrez le fichier a l'aide d’un editeur, relevez et verifiez les parametres suivants. Pour chacun de ces parametres vous noterez 
leurs roles a partir des commentaires donnes par les fichiers httpd.conf (pensez a enregistrer vos modifications) : 

• ServerName, nom pleinement qualifie de votre serveur (FQDN) 

• ServerType standalone 

• Port 80 

• User $APACHE_USER 

• Group $APACHE_GROUP 

• ServerAdmin root@localhost 

• ServerRoot /etc/apache 

• DocumentRoot $APACHE_HOME/html 

• UserDir public_html 

• Directorylndex index.html index. shtml index.cgi 

• AccessFileName .htaccess 

• Alias /icons/ $APACHE_HOME/icons/ 

• ScriptAlias /cgi-bin/ $APACHE_HOME/cgi-bin/ 


13.2.3. Activation du serveur 

Regardez dans la fiche de cours les commandes de lancement du service serveur et la procedure de test. Regardez dans les 
fichiers de log et dans la table de processus si le service est bien demarre. Verifier avec la commande netstat que le port 80 est 
bien ouvert. 

Notez toutes les commandes que vous utilisez. 


13.2.4. Test de la configuration 

A ce stade le serveur est configure et fonctionne. II ne reste plus qu’a realiser les tests. Vous devez pour cela activer le 
navigateur. 

Faites les tests a partir de la machine locale et d’une machine distante. Utilisez les adresses localhost, 127.0.0.1, les adresses IP 
et les noms d’hotes. 

Si tout fonctionne vous etes en mesure de deployer votre site. II suffira pour cela de l’installer dans l’arborescence 
$APACHE_HOME. 

Depannage: si cela ne fonctionne pas, procedez par elimination. 

• 1 - Essayez avec les adresses IP des machines. Si ?a fonctionne c'est que la resolution de noms n’est pas en place. 

• 2 - Verifiez que votre serveur est bien actif. 

• 3 - Verifiez que la configuration du serveur est correcte. Si vous apportez des modifications vous devez reinitialiser le 
serveur HTTP. 


13.2.5. Auto-evaluation sur le premier TP 

• Quels sont le/les fichiers de base pour la configuration du serveur apache et dans quels repertoires sont-ils situes ? 

• Comment se nomme le compte d'utilisateur qui utilise le serveur http ? 

• Quels sont les permissions d'acces par defaut sur le site principal du serveur ? 

• Dans quel repertoire sont installes par defaut les pages HTML du site ? 

• Quels sont les deux modes de lancement du serveur ? 

• Dans quel fichier determine-t-on ce mode de fonctionnement ? 

• Dans quel repertoire par defaut sont stockes les scripts CGI et quel en est l’alias ? 

• Quel est le principal role des alias ? 

• Quelle(s) procedure(s) peut-on utiliser pour determiner l’etat du serveur et son bon fonctionnement ? 

• Vous installez un serveur Apache sur une machine d’adresse 192.168.90.1 et de nom foo.foo.org. Lors des tests sur la 
machine locale, les commandes http://localhost, http://127. 0.0.1, http://192. 168.90.1 fonctionnent et http://foo.foo.org 
ne fonctionne pas. Lors des tests a partir d’une machine distante les commandes http://192.168.90T et 
http://foo.foo.org fonctionnent. 

Que peut-on en deduire et comment resoudre le probleme ? 
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Vous allez realiser les operations suivantes 
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• Verifier que la configuration de votre machine est correcte, 

• Developper quelques pages HTML puis les deployer, 

• Tester les nouvelles pages a partir d'un client Linux et Windows. 

Vous utiliserez les archives qui vous sont fournies. Ces archives sont composees des quelques pages html qui vous serviront de 
site web et de scripts cgi. 


14.2. Verification de la configuration 

Installez le service serveur et verifiez qu'il est bien configure et actif. 

Pour tester la configuration de votre serveur, vous pouvez egalement utiliser la procedure suivante a partir de 1'hote local ou 
d'un hote distant. 

Lancez la commande suivante "$ telnet @IP du PC 80" (exemple : telnet 192.168.1.1 80 si cette adresse est celle de votre 
machine) 

Cette commande cree une connexion au serveur httpd (port 80). Ce dernier invoque un agent. 

Identifiez la connexion reseau dans une autre fenetre xterm et avec la commande : 


netstat -atup | grep ESTABLISHED 

root@mr : /home# netstat -atup | grep ESTABLISHED 

#Vous devriez obtenir quelque chose comme : 

tcp 0 0 mr:33073 mr : www ESTABLISHED 1513/telnet 

tcp 0 0 mrrwww mr: 33073 ESTABLISHED 1508/apache 


Ensuite, transmettez a l'agent la ligne (commande) suivante : "GET /index. html" 

Verifiez que l'agent transmet de maniere transparente le document HTML, et qu'il coupe automatiquement la connexion. 


14.3. Installation d'un site Web 

Vous allez utiliser les documents HTML fournis en annexe. Vous allez proceder de la fagon suivante: 

• Creez un repertoire $APACHE_HOME/journal pour y mettre toutes les pages html 

• Copiez les images dans $APACHE_HOME/icons (normalement /usr/share/apache/icons) 

• Copiez le script cgi compile "prog" dans $APACHE_HOME/cgi-bin (normalement /usr/lib/cgi-bin) 

Testez le site a partir d'un navigateur avec la commande http://@URLDuServeur/journal/ 

Le site est maintenant deploye, testez l'enchainement des pages, l'affichage des images. 

Le formulaire ne fonctionne pas encore. Vous avez copie le script compile "prog" dans "/usr/lib/cgi-bin". Verifiez quel est le 
nom du script que le formulaire "form.html" essaie de lancer sur le serveur. 

Modifiez le nom du script ou le formulaire en consequence. 

Testez le fonctionnement du formulaire dans un navigateur. 

Si vous rencontrez des difficultes sur l'execution du script, verifiez dans le fichier de configuration d'apache que vous avez bien 


ScriptAlias /cgi-bin/ "/usr/lib/cgi-bin/" 
et 

<Directory " /usr/lib/cgi-bin"> 
AllowOverride None 
Options None 
Order allow, deny 
Allow from all 
</Directory> 


14.4. Developpement d'un site 

Realisez sous LINUX votre curriculum vitae en langage HTML. Celui-ci devra etre compose de plusieurs documents relies 
par des liens (ancres). 11 sera installe dans $APACHE_HOME/cv et les images dans le repertoire reference par l'alias /icons/. 
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• - 1 page pour les experiences professionnelles, 

• - 1 page pour les loisirs, passions... 

Chaque page doit vous permettre de revenir a la page d'accueil. 

Mettez les pages dans le repertoire qui etait prevu $APACHE_HOME/cv 


14.5. Test de vos pages 

Vous allez vous connecter a votre site a partir d'un client distant. Utilisez de preference les adresses URL. Corrigez les erreurs 
si faeces n'est pas realise. 


14.6. Utilisation des alias 

Afin de comprendre le fonctionnement des alias vous allez maintenant realiser quelques manipulations. Vous allez deplacer le 
repertoire qui contient les images de "$APACHE_HOME/icons" vers "/tmp/httpd/icons. 

• Realisez l'operation de deplacement du repertoire vers /tmp/httpd/icons, 

• Apportez les modifications necessaires aux fichiers de configuration d'Apache 

• Verifiez le resultat. 

Vous constatez ainsi qu'il est possible de deplacer un repertoire sur un serveur, sans qu'il soit necessaire pour autant de 
modifier toutes les pages utilisant ce repertoire. 


14.7. Auto evaluation sur le deuxieme TP 

• Quel est le nom de la page par defaut qui est ouverte par le navigateur dans un repertoire du serveur HTTP. 

• Quel interet procure l'utilisation des alias ? 

• Dans quels repertoires sont, par defaut installes les pages HTML, scripts CGI, images et comment se nomment les 
alias ? 

• On cree un repertoire $APACHE_HOME/html/journal pour y Stocker des pages HTML. II n'est pas possible d'y 
acceder alors que pour les autres sites tout fonctionne. Void le message renvoye par le navigateur. Aucune mesure de 
securite n'a ete mise en oeuvre. 

Forbidden 

you don’t have permission to access / on this server 

Quelle est la cause du probleme et comment y remedier ? 


Chapitre 15. TP 3 : configuration des repertoires personnels 

Vous allez mettre en place un acces pour les utilisateurs du systeme. Ceux-ci auront la possibility de mettre leurs pages 
personnelles dans leur repertoire prive. 

Vous allez realiser les operations suivantes: 

• Configurer le compte personnel, 

• Developper un site personnel, 

• Tester faeces au site personnel. 

Relevez dans le fichier de configuration d'Apache le nom du repertoire dans lequel doivent etre stockees les pages 
personnelles. 


15.1. Configurer le compte personnel 

• Creez un compte d'utilisateur. Je vais utiliser, pour la description des operations le compte "mix", 

• Allez dans le repertoire personnel /home/mix, 

• Creez le repertoire du site Web personnel , 

• Dans ce repertoire vous allez creer un repertoire pour les pages, un pour les images, un pour les scripts CGI avec la 
commande mkdir. 


15.2. Developper un site personnel 

Vous allez utiliser les pages HTML fournies en annexes. Utilisez les documents du TP precedent si vous en avez besoin. 
Installez les fichiers fournis en annexe dans les repertoires adequats. 

Modifiez les pages HTML a l'aide d'un editeur pour qu'elles utilisent les images de votre repertoire personnel 
"~/public_html/images" et le script CGI de votre repertoire personnel "~/public-html/cgi-bin" et pas ceux qui sont dans 
" $ AP ACHE_HOME/cgi-bin" . 
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Pour autoriser l'utilisation de scripts CGI dans un repertoire, vous devez le declarer pour le serveur Apache. Void trois 
exemples : 

<Di rectory /home/*/public_html/cgi-bin> 

Options ExecCGI 
SetHandler cgi-script 
</Directory> 

<Directory /home/*/public_html> 

Options +ExecCGI 

</Directory> 

<Directory /var/www/ journal> 

Options +ExecCGI 

</Directory> 


Recherchez egalement la ligne dans le fichier httpd.conf : 

AddHandler cgi-script . cgi . sh .pi 

Decommentez la ou ajoutez la si elle n'y est pas. 

Copiez le script dans le repertoire que vous reservez pour les scripts. Verifiez si c'est un programme "C" compile qu’il porte 
bien l’extension ".cgi", au besoin renommez-le. 


15.3. Tester I'acces au site personnel 

Vous pouvez maintenant tester votre site personnel. A l'aide d’un navigateur utilisez l'URL "http//localhost/~mlx", (remarquez 
l'utilisation du pour definir le repertoire personnel. ) 

Corrigez toutes les erreurs que vous pouvez rencontrer (problemes d'alias, page principale, page de liens, problemes de scripts, 
permissions d'acces au repertoire...) 

Faites le test avec les sites personnels situes sur les autres machines. 


15.4. Auto-evaluation sur le troisieme TP 

• Quel avantage presente l'utilisation des repertoires personnels pour le developpement de sites Web ? 

• Vous installez votre site personnel et vos pages. Vous tentez de realiser un test or vous n'arrivez pas a acceder a vos 
pages. Quels peuvent etre les problemes et comment y remedier ? 

• Vous rencontrez un probleme de configuration. Vous apportez les corrections dans les fichiers de configuration, or la 
modification n'est toujours pas prise en compte sur le client. Que se passe-t-il et comment corriger le probleme ? 

• Comment avez vous fait pour que les scripts personnels soient charges et executes de /home/mlx/public_html/cgi-bin 

• Pour l'utilisateur mix, sur la machine saturne et le domaine toutbet.edu, donnez: 

1. l'adresse URL de son site personnel, 

2. l'emplacement physique de son repertoire personnel sur la machine, 

3. le nom (et chemin complet) du fichier qui est active quand on accede a son site. 


Chapitre 16. TP 4 : mise en place d'un acces securise 

Vous allez realiser les operations suivantes: 

• 1 - Deployer un site d'acces en ligne 

• 2 - Securiser faeces a ce site par un mot de passe 

• 3 - Tester la configuration. 

16.1. Deployer un site d'acces en ligne 

Vous allez utiliser les pages fournies en annexe. 

Creez un repertoire sur votre machine, "rnkdir $APACHE_HOME/protege" 

Copiez les pages dans ce repertoire. 


16.2. Securiser I'acces a ce site par un mot de passe 

Dans un premier temps vous allez interdire I'acces a tout le monde. Pour cela vous allez modifier le fichier de configuration 
d' Apache et y mettre les lignes suivantes : 

<Directory $APACHE_HOME/protege> 
order deny, allow 
deny from all 
</Directory> 
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Arretez puis relancez le serveur et faites un test a partir d'ttn navigateur. Notez le message qui apparait. Plus personne n'a acces 
au site. 

Pour mettre un acces securise par mot de passe il manque 2 elements: 

• Modifiez la configuration d'acces au repertoire, 

• Creez le mot de passe crypte. 

Modifiez la configuration d'acces au repertoire 


<Directory $APACHE_HOME/protege> 

AuthName Protected 
AuthType basic 

AuthUserFile $APACHE_CONF/users # fichier de mots de passe 
CLimit GET POST> 

require valid-user # ici on demande une authentif ication 
</Limit> 

</Directory> 


Creez le mot de passe crypte. 

Le mot de passe est un fichier texte a deux champs separes par un "deux points" (:). Le premier champ contient le compte 
d'utilisateur, le deuxieme contient le mot de passe crypte. 

Pour creer ce fichier, les comptes et les mots de passe, utilisez la commande "htpasswd" 


16.3. Tester la configuration. 

Ouvrez une session a faide d'un navigateur et ouvrez l'URL "http://localhost/protege" 

Une fenetre doit s'ouvrir, entrez le nom d'utilisateur et le mot de passe. 

Realisez les operations a partir de machines distantes. 

Depannage: 

• Veriftez le nom du repertoire que vous avez cree et la declaration dans le fichier access.conf, 

• Veriftez le nom et la structure du fichier dans lequel vous avez mis les mots de passe. 

• Si vous faites plusieurs tests, quittez puis relancez le navigateur apres chaque session ouverte ou refusee, 

• Veriftez que le repertoire soit bien en mode 755 (chmod) 

• Si cela ne fonctionne toujours pas reprenez le processus au debut: 

- affectez toutes les permissions a tout le monde, 

- supprimez toutes les permissions a tout le monde, 

- affectez les restrictions. 

• Utilisez un compte sans mot de passe. Le fichier $APACHE_CONF/users va contenir uniquement la chaine: mix, 
mais il n'y a pas le mot de passe. 

Si cela fonctionne alors le probleme vient du cryptage du mot de passe. 

Une fois que vous avez ete authentifie, quittez et relancez le navigateur si vous voulez refaire le test d'acces a la ressource 
protegee. 


16.4. Les fichiers .htaccess 

En vous basant sur ce que vous venez de faire, securisez faeces a un autre repertoire en utilisant un fichier .htaccess. 


16.5. Auto-evaluation sur le quatrieme TP 

• Dans quel cas un acces securise peut-il etre utilise ? 

• Vous affectez un mot de passe a un utilisateur distant. Vous faites un test sur votre machine tout semble fonctionner. 11 
vous appelle pour vous dire que ses requetes sur le site protege sont toujours rejetees. Que se passe-t-il ? 

• Si on utilise les possibilites du systeme, quelle autre solution peut-on utiliser pour interdire faeces a un repertoire. 


Chapitre 17. TP 5 : Utilisation de scripts CGI 

11 existe deux methodes qui permettent de faire communiquer un formulaire html avec un script CGI. La methode POST et la 
methode GET. Nous utiliserons ici la methode POST. 

Ce TP doit vous permettre de developper un formulaire et un script CGI en C. Vous devez savoir compiler un programme. 


Chapitre 17. TP 5 : Utilisation de scripts CGI 
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Vous allez realiser les operations suivantes: 

• Etudier les sources fournies en annexe. 

• Developper un formulaire et adaptez les scripts, 

• Tester le fonctionnement des scripts. 


17.1. Etudier les sources fournies en annexe 

Transferez les programmes C, les .h et le makefile dans votre repertoire personnel. Etudiez attentivement les sources. Testez le 
fonctionnement du script. 


17.2. Developper un formulaire et adapter les scripts 

A partir de l'exemple fourni, developpez les pages HTML d'un site commercial qui doit permettre la prise de commande a 
distance de pizzas. 11 doit y avoir au moins 3 pages: 

• une page principale, 

• une page de description des produits, 

• une page (formulaire) pour passer commande contenant tous les types de champs qui existent dans le formulaire 
form.html. (liste deroulante, bouton radio, zone de texte) 

Exemple : 

• Zone de texte (Nom du client) 

• Liste deroulante (Calzone, Margarita, Quatre-saisons) 

• Bouton radio (Grande, Moyenne, Petite) 

• Case a cocher (Avec des anchois) 

• Vous afficherez au client le resultat de sa commande. 

Adaptez le script CGI qui vous est fourni, a votre formulaire. 


17.3. Tester le fonctionnement de votre script. 

Pour tester le script: 

• ouvrez la page principale de votre site a l'aide d'un navigateur, 

• passez des commandes, 

• verifiez les resultats retournes par le script, (reponse). 


17.4. Auto-evaluation sur le cinquieme TP 

• Que signifie CGI ? 

• Quel interet presente l'utilisation de scripts CGI ? 

• Quelle est la difference entre la methode GET et POST ? 

• Comment se nomment les variables d'environnement qui contiennent la chaine (parametres) du formulaire ? 

• Comment est structuree cette chaine ? 

• Quel est le caractere de concatenation des chaines ? 

• Pourquoi la reponse contient dans l'entete la chaine Content-type: text/html ? 

• A quoi correspondent ces 2 parametres text et html ? 


Chapitre 18. TP 6 : Serveurs webs virtuels et redirection 

II est preferable d'avoir realise les TP sur les serveurs de noms avant de realiser celui-ci. 

Pour realiser ce TP, vous devrez avoir un serveur de noms qui fonctionne. 

La mise en place de serveurs webs virtuels, permet de faire cohabiter plusieurs serveurs sur un meme hote. Nous verrons qu'il y 
a plusieurs techniques pour faire cela : 

• Les serveurs virtuels bases sur le nom, dans ce cas, vous devrez designer pour une adresse IP sur la machine (et si 
possible le port), quel est le nom utilise (directive ServerName), et quelle est la racine du site (directive 
DocumentRoot). 

# Ici toutes les actresses ip sont utilisees, on peut mettre * 

NameVirtualHost * 

<VirtualHost *> 

ServerName www.domain.tld 
DocumentRoot /www/domain 
</VirtualHost> 

<VirtualHost *> 
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ServerName www.otherdomain.tld 
DocumentRoot /www/otherdomain 
</VirtualHost> 

# Ici on utilise une adresse en particulier 

# Toutes les requetes sur http://www.domain.tld/domain 

# pointeront sur /web/domain 

NameVirtualHost 111.22.33.44 

<VirtualHost 111 . 22 . 33 . 44> 

ServerName www.domain.tld 
ServerPath /domain 
DocumentRoot /web/domain 
</VirtualHost> 


• Les serveurs virtuels bases sur des adresses IP. Dans ce cas, chaque serveur aura sa propre adresse IP. Vous devrez 
egalement avoir un serveur de noms sur lequel toutes les zones et serveurs sont declares, car c'est ce dernier qui 
assurera la correspondance "adresse ip <-> nom du serveur" : 

# Chaque serveur peut avoir son propre administrateur, ses 

# propres fichiers de logs. 

# Tous fonctionnent avec la meme instance d' Apache. 

# II est possible de lancer plusieurs instances d* apache 

# mais sur des ports differents 

<VirtualHost www.smallco.com> 

ServerAdmin webmasterOmail . smallco . com 

DocumentRoot /groups/smallco/www 

ServerName www.smallco.com 

ErrorLog / groups/ smallco/ logs /error_log 

TransferLog /groups/ smallco/logs/access_log 

</VirtualHost> 

<VirtualHost www.baygroup.org> 

ServerAdmin webmaster@mail . baygroup . org 
DocumentRoot / groups/baygroup/www 
ServerName www.baygroup.org 
ErrorLog /groups/baygroup/logs/error_log 
TransferLog /groups /baygroup/ logs/access_log 
</ Virtual Host > 


La redirection est un service un peu particulier, qui differe de celui des services web virtuels. 11 permet de rediriger une partie 
du site web a un autre endroit du disque physique. La encore on utilisera une des fonctions d'Apache qui permet de definir des 
alias. 

Prenons par exemple un site installe physiquement sur "/var/www" et accessible par I'url "http://FQDN". L'url 
"http://FQDN/unREP" devrait correspondre normalement a l’emplacement physique "/var/www/unREP". La redirection va 
permettre de rediriger physiquement vers un autre repertoire. 

Cette technique est largement utilisee par des applications ou pour la creation d’espaces documentaires. 

L’URL "http://FQDN/compta", pourra pointer physiquement dans "/usr/lib/compta" au lieu de "/var/www/compta". 

Dans cet atelier, vous allez realiser les operations suivantes: 

1 . Installer un service de serveurs web virtuels par adresse et par nom, 

2. Mettre en place un service de redirection par alias. 


18.1. Avant de commencer sur les serveurs web virtuels 

Configurez votre serveur de noms si ce n’est pas fait. Vous pouvez vous aider de l’annexe sur le "web-hosting" ci-dessous. 

Pour creer des alias dynamiquement a votre interface reseau, utilisez la commande suivante: 

ifconfig eth0:0 192.168.0.1 

ifconfig ethO : 1 192.168.1.1 

ifconfig 

ethO Lien encap : Ethernet HWaddr 00 :D0 : 59 : 82 : 2B: 86 

inet adr : 192 . 168 . 90 . 2 Beast : 1 92 . 1 68 . 90 . 255 Masque : 255 . 255 . 255 . 0 
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric :1 
RX packet s : 9504 1 errors :0 dropped: 0 overruns : 0 frame :0 
TX packet s : 10 6227 errors :0 dropped: 0 overruns: 26 carrier :0 
collisions :0 lg file transmission : 100 

RX bytes : 57490902 (54.8 MiB) TX bytes : 114 96187 (10.9 MiB) 

Interruption : 11 Adresse de base: 0x3000 

ethO : 0 Lien encap : Ethernet HWaddr 00 :D0 : 59 : 82 : 2B: 86 

inet adr : 1 92 . 1 68 . 0 . 1 Beast : 192 . 168 . 0 . 255 Masque : 255 . 255 . 255 . 0 
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric :1 
Interruption : 11 Adresse de base: 0x3000 
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ethO : 1 Lien encap : Ethernet HWaddr 00 :D0 : 59 : 82 : 2B: 86 

inet adr : 1 92 . 1 68 . 1 . 1 Beast : 1 92 . 1 68 . 1 . 255 Masque : 255 . 255 . 255 . 0 
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric :1 
Interruption : 11 Adresse de base: 0x3000 

lo Lien encap :Boucle locale 

inet adr : 127 . 0 . 0 . 1 Masque : 255 . 0 . 0 . 0 

UP LOOPBACK RUNNING MTU: 16436 Metric :1 

RX packets: 70 errors :0 dropped: 0 overruns : 0 frame :0 

TX packets: 70 errors :0 dropped: 0 overruns : 0 carrier :0 

collisions :0 lg file transmission : 0 

RX bytes: 4564 (4.4 KiB) TX bytes: 4564 (4.4 KiB) 


Creez votre serveur de noms pour deux domaines par exemple (domainl.org et domain2.org), adaptez la configuration du 
fichier "/etc/resolv.conf", verifiez le bon fonctionnement de la resolution de noms sur les CNAME (www.domainl.org et 
www.domain2.org). 


18.2. Serveur web virtuel base sur les adresses ip 

D'abord les declarations dans le fichier /etc/apachc/Vhosts: 


# Web hosting ip based 
NameVirtualHost 192.168.0.1 
<VirtualHost 192.168.0.1> 
DocumentRoot /home/web/domainl 
ServerName www.domainl.org 
</VirtualHost> 

NameVirtualHost 192.168.1.1 
<VirtualHost 192.168.1.1> 
DocumentRoot /home/web/domain2 
ServerName www.domain2.org 
</VirtualHost> 


Inclusion a la fin du fichier de configuration d'apache : 

Include Vhosts 

Preparation des sites webs (sans trop se casser la tete) : 

# mkdir -p /home/web/domainl /home/web/domain2 

# echo "<Hl>Salut domainl </Hl>" > /home/web/domainl/index . html 

# echo "<Hl>Salut domain2 </Hl>" > /home/web/domain2 /index . html 


On relance Apache : 

/etc/init . d/apache restart 

Cest termine, les requetes sur "http://ww.domainl.org", "http://www.domain2.org", doivent fonctionner et vous renvoyer la 
bonne page. 


18.3. Serveur Web virtuel base sur le nom 

On va utiliser l'adresse ip de nsl.domainl.org pour les url w3.domainl.org et wiki.domainl.org. w3 et wiki sont deux zones de 
deployment de site web differentes, sur un meme serveur HTTP. 

Modification du fichier Vhosts : 

# Web hosting name based (base sur le nom) 

#Site secondaire de domainl 
<VirtualHost 192.168.0.1> 

ServerName w3.domainl.org 
DocumentRoot /home/web/w3 
</VirtualHost> 

<VirtualHost 192.168.0.1> 

ServerName wiki.domainl.org 
DocumentRoot /home/web/wiki 
</VirtualHost> 


Relancer Apache. 

Creation des sites web : 

# mkdir -p /home/web/wiki /home/web/w3 

# echo "<Hl>Salut w3 </Hl>" > /home/web/w3/index . html 

# echo "<Hl>Salut wiki </Hl>" > /home/web/wiki/index . html 
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C'est termine, les requetes sur : 

http : / /w3 . domainl . org 
http : / /wiki . domainl . org 


doivent retourner les bonnes pages. 


18.4. Application sur la redirection 

Nous allons creer un espace documentaire pour le domain "domainl.org". II sera accessible par l’url 
"http://www.domainl.org/mesdocs", mais il sera localise dans "/etc/domainldoc". 

Creez un repertoire "domainldoc" dans /etc pour ce nouveau projet et mettez-y le fichier "apache. conf" ci-dessous: 

# Creation du repertoire 
mkdir /etc/domainldoc 

# Creation du fichier /etc/domainldoc/apache . conf 
Alias /mesdocs /etc/domainldoc/ 

<Directory /etc/domainldoc> 

Options FollowSymLinks 
AllowOverride None 
order allow, deny 
allow from all 
</Directory> 


Faites une inclusion de ce fichier dans le fichier de configuration d’Apache et relancez le service Apache. 

C'est termine, toutes les requetes sur "http://www.domainl.org/mesdocs", ouvriront les pages qui sont dans "/etc/domainldoc". 


18.5. Annexe pour le "web-hosting" 

=== A rajouter dans /etc/bind/named . conf 

zone "domainl.org" { 
type master; 

file " /etc /bind/ domainl . org . hosts " ; 

}; 

zone "domain2.org" { 
type master; 

file " /etc /bind/ domain2 . org . hosts " ; 

} ; 


=== fichiers de zone 

root@freeduc-sup : /etc/bind# more domainl . org . hosts 
$ttl 38400 

@ IN SOA domainl.org. hostmaster.domainl.org. 

2004052604 
10800 
3600 
604800 
38400 ) 


@ 

IN 

NS 

nsl . domainl 

nsl 

IN 

A 

192.168.0.1 

WWW 

IN 

CNAME nsl 


wiki 

IN 

CNAME nsl 


w3 

IN 

CNAME nsl 



( 


root@freeduc-sup : /etc/bind# more domain2 . org . hosts 
$ttl 38400 

@ IN SOA domain2.org. hostmaster.domain2.org. ( 

2004052604 
10800 
3600 
604800 
38400 ) 

@ IN NS nsl.domain2.org. 

nsl IN A 192.168.1.1 

www IN CNAME nsl 


Chapitre 19. Elements de cours sur le chiffrement 


Ce cours se propose de definir les concepts de base du chiffrement et surtout ses objectifs : 
♦ Definition du chiffrement ; 


Chapitre 19. Elements de cours sur le chiffrement 
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♦ Les deux methodes de chiffrement (chiffrement symetrique et chiffrement asymetrique) ; 

♦ Les objectifs du chiffrement (confidentialite, authentification, integrite, signature electronique) ; 

♦ La notion de certificats ; 

♦ La mise en oeuvre avec le protocole SSL. 


19.1. Qu'est-ce-que le chiffrement ? 

Le chiffrement consiste a rendre illisible un message en brouillant ses elements de telle sorte qu'il soit tres difficile de 
reconstituer foriginal si Ton ne connait pas la transformation appliquee. 

Le chiffrement est base sur deux elements : une cle et un algorithme. 

• La cle est une chaine de nombres binaires (0 et 1). 

• L'algorithme est une fonction mathematique souvent complexe qui va combiner la cle et le texte a crypter pour rendre 
ce texte illisible. 

Pour "casser" un chiffrement, il n’existe que deux solutions : 

• II faut essayer toutes les cles, ce qui devient impossible actuellement compte tenu de la longueur de celles-ci ; 

• "Casser" l’algorithme (qui est, en general, connu par tous), c’est-a-dire rec here her une faille dans la fonction 
mathematique ou dans son implementation permettant de trouver la cle plus rapidement. 

Le choix d'un algorithme depend done de : 

• La fiabilite de ce dernier (savoir s’il existe des failles importantes) ; 

• La longueur de cle qu'il gere ; 

• De ce que Ton va en faire : on sera plus vigilant pour un serveur RADIUS permettant l'acces au reseau WIFI de la 
NASA que pour notre messagerie personnelle... 


19.2. Les mecanismes de chiffrement 

19.2.1. Le chiffrement symetrique 

La meme cle est utilisee pour coder et decoder et doit bien evidemment rester secrete. 

Un algorithme repandu consiste a effectuer des substitutions et des transpositions en cascade sur les lettres du message. Par 
exemple : MICROAPPLICATION devient IRMCAPOPIALCINTO si Ton fixe comme cle le principe suivant : "la premiere 
lettre sera la troisieme, la seconde sera la premiere, la troisieme sera la quatrieme et la quatrieme sera la seconde". 

La figure suivante illustre le principe du chiffrement symetrique. 


Figure 19-1. Chiffrement symetrique 


Quelques algorithmes couramment utilises (liste non exhaustive) : 

• Data Encryption Standard (DES) est une invention du National Bureau of Standards (NSB) americain. qui date de 
1977 : e’est le premier algorithme de chiffrement publique gratuit. Les donnees sont decoupees en blocs de 64 bits et 
codees grace a la cle secrete de 56 bits propre a un couple d'utilisateurs 

• RC2, RC4 et RC5 sont des algorithmes crees a partir de 1989 par Ronald Rivest pour la RSA Security. L’acronyme 
"RC" signifie "Ron’s Code" ou "Rivest’s Cipher". Ce precede permet aux utilisateurs la possibility de choisir la 
grandeur de la cle (jusqu’a 1024 bits). 

• Advanced Encryption Standard ( AES) est un standard approuve par le ministere americain du commerce en 2001 et 
vise a remplacer le DES ; il est place dans le domaine public et accepte des cles d’une taille de 128, 192 ou 266 bits. 

Les inconvenients de ce systeme de chiffrement sont les suivants : 

• il faut autant de paires de cles que de couples de correspondants ; 

• la non-repudiation n'est pas assuree. Mon correspondant possedant la meme cle que moi, il peut fabriquer un message 
en usurpant mon identite ; 

• il faut pouvoir se transmettre la cle au depart sans avoir a utiliser le media a securiser ! 


19.2.2. Le chiffrement asymetrique 

C’est une approche radicalement differente apparue en 1976 : la cle qui serf a coder est differente de celle qui peut 
dechiffrer. 

La grande nouveaute introduite par cette famille de methodes, e’est que la cle chiffrante est publique. Cette notion de 
cryptographie a cle publique resulte d’un defi mathematique lance par Witfield Diffie et Martin Heilman. Trois mathematiciens 
americains (Ronald Rivest, Adi Shamir et Leonard Adleman) ont reussi a l’epoque a trouver une solution, aujourd’hui 
employee sous le nom de RSA. 
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La methode repose sur un constat tres simple : il est facile d'effectuer la multiplication de deux nombres premiers, mais il est 
tres difficile de retrouver les facteurs quand le resultat est grand. 

La cle publique est done constitute du produit n de deux nombres premiers p et q. choisis tres grands. La cle secrete depend 
directement de p et q et ne peut done etre deduite de la cle publique. 

En resume, chacun dispose d'une cle privee qui est gardee secrete et d'une cle publique qui est destinee a etre 
divulguee. Ces cles sont liees entre elles. Un document encrypte avec l'une ne peut etre decodee qu'avec l'autre. 
Toutefois, la possession de l'une des cles ne permet pas d'en deduire l'autre. 

Un autre algorithme utilisant le systeme de chiffrage asymetrique largement utilise est le DSA (Digital Signature Algorithm). 
Ce systeme a reellement permit d’assurer des fonctions essentielles telles que la confidentialite et fauthentification. 


19.3. Que permet de faire le chiffrement ? 

19.3.1. Garantir la confidentialite d'un message 

Le message ne doit etre pouvoir lu que par le destinataire. 

Pour ce faire, il suffit de recuperer la cle publique P du destinataire (sur le serveur de cle http://www.keyserver.net/ par 
exemple) puis de crypter le message avec cette cle publique et d 'envoy er le resultat au destinataire. 

Le destinataire n'a lui, qu'a decoder le message a l'aide de sa cle privee S. Seule la cle privee S correspondant a la cle publique 
P peut decoder un message encrypte avec cette cle publique P. Comme le destinataire est seul a posseder cette cle privee 
(secrete), on est sur de la confidentialite du message. 

La figure suivante illustre le principe de confidentialite : 


Figure 19-2. Confidentialite 


19.3.2. Authentifier l'emetteur d'un message 

le chiffrement asymetrique permet de garantir que I'emetteur d'un message est bien celui que l'on croit. 

L'emetteur va encrypter le message avec sa cle privee. Le destinataire pourra alors verifier l'identite de I'emetteur en 
decryptant le message avec la cle publique de I'emetteur. Comme seul le detenteur de la cle privee est capable de crypter un 
message dechiffrable par la cle publique, on est sur de l'identite de l'emetteur. 

La figure suivante illustre le principe d’authentification : 


Figure 19-3. Authentification 


En pratique, on evite de crypter tout le message. On crypte une forme abregee du message. Cette forme est obtenue a l'aide 
d'une fonction mathematique complexe appelee fonction de hachage a sens unique. 

C’est ce que Ton apelle la signature electronique. 


19.3.3. La signature electronique 

La signature electronique permet non seulement d'authentifier l'emetteur d'un message mais aussi de verifier l'integrite de 
ce dernier (c'est a dire qu’il n’a pas ete modifie). 

Techniquement, la signature electronique correspond au chiffrement de I'empreinte d'un document via la cle privee du 
signataire. 

Selon le glossaire du CNRS (Centre National de la Recherche Scientifique) 

http://www.drl5.cnrs.fr/Delegation/STI/Signature/glo-empreinte.html : "L'empreinte electronique est a un document ce que 
I’empreinte digitale ou genetique est a un individu. L'empreinte d'un document a des proprietes tres interessantes : 

• si on change, ne serait-ce qu'une virgule, dans un document, son empreinte change ; 

• la probability que deux documents aient la meme empreinte est a peu de choses pres nulle ; 

• il n'est pas possible de refabriquer le document a partir de son empreinte. 

Techniquement, l'empreinte d'un document est le resultat d'un calcul effectue a l'aide d'un algorithme de hachage approprie 
(SHA (Secure Hash Algorithm) ou MD5 (Message Digest) sont les plus courants). 11 genere pour chaque document un nombre 
de 128 ou 168 bits, que les anglo-saxons appellent "digest" et qu'en frangais, on appelle parfois resume..." 
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Le schema suivant illustre le mecanisme de la signature electronique. 


Figure 19-4. Sinature electronique 


Si les deux operations donnent le meme resultat, alors on est sur de 1'identite du signataire et on est sur que le document 
n'a pas ete modifie depuis que l'emetteur l'a signe. 

Bien entendu, l'ensemble de ces verifications se font a l'aide de logiciels dedies qui effectuent ces operations tres rapidement et 
de fa£on tres assistee. 


19.3.4. Mise en oeuvre 

La mise en oeuvre de ces principes dans le cadre d'une messagerie electronique. 

Voici des adresses de site sur lequel vous trouverez des documentations completes tres pedagogiques sur l'utilisation du celebre 
logiciel PGP et de son pendant libre openpgp (ou GnuGP) ; logiciel tres utilise pom le chiffrement et l'etablissement de 
signature numerique lors d'envoi de mel. : 

• http://www.securiteinfo.com/crypto/pgp.shtml 

• http://www.openpgp.fr.st/ 

• http: //www . gnupg . org/gph/fr/ manual . html 

• Et une documentation complementaire pour gerer pgp ou gpg a partir de Kmail sous Linux : 
http://docs.kde.org/fr/HEAD/kdenetwork/kmaiPpgp.html 

Vous avez tous l'adresse electronique de votre professeur qui a depose sa cle publique relative a cette adresse sur le serveur de 
cles (en anglais) http://www.keyserver.neP. 

Vous devez la recuperer et envoyer a votre professeur un... gentil... message chiffre et signe par votre propre cle prive ; 
signature que votre professeur doit pouvoir verifier... 

Votre professeur vous repondra a tous un message chiffre et signe... 

Mais un autre probleme peut se poser : tout est base sur la confiance que Ton accorde a la cle publique or comment controler 
que la cle publique appartient bien a celui qui le pretend ? 

C'est le role des certificats. 


19.4. Les certificats 

19.4.1. L'utilite d'un certificat 

Pour etre sur que la cle publique provient bien de celui que Ton croit, on utilise une autorite tierce (appele le tiers de 
confiance). Cette autorite est celle qui va generer une cle publique certifiee par exemple pour un serveur Web, puis c'est 
ensuite elle qui garantira a tout demandeur (par exemple le client web) que la cle publique envoyee appartient bien a celui 
qui le pretend (au serveur Web). 

La garantie qu’une cle publique provient bien de l'emetteur qu'il pretend etre, s'effectue done via un certificat 
d'authenticite emanant d'une autorite de certification (AC), le tiers de confiance. 


19.4.2. Qu'est-ce qu'un certificat x509 ? 

x509 definit la forme d'un certificat (simple fichier informatique) delivre par une autorite de certification qui contient : 

• la cle publique de son detenteur et des informations sur son identite ; 

• le nom distinctif de l'autorite de certification ; 

• la signature electronique (chiffrement de l'empreinte par cle prive) de l'autorite de certification. 

Pour obtenir plus de precisions sur le certificat x509, vous pouvez consulter la page suivante 
http://inteipki.sourceforge.net/index.php7/x509.html 

Comment obtenir un certificat ? 

On peut acheter un certificat SSL 128 bits a un prix raisonnable aux alentours de 120 EUR HT / an. (Voir par exemple a cette 
adresse http://www.netenligne.com/ecommerce/ssll.asp et http://www.netenligne.com/ecommerce/ssl2.asp pom le tableau 
comparatif des prix). 
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Voila ce que Ton peut lire en ligne : "Pour obtenir un certificat, il faut fournir des donnees d'identification. Tout proprietaire 
d'un nom de domaine et du site correspondant peut obtenir un certificat SSL, qu'il s'agisse d'une personne physique, d'une 
entreprise, d'une association ou d'une administration. 

S'il n'y a pas de probleme concernant l'identification du demandeur et son droit a obtenir un certificat SSL pour son site, le 
delai d'obtention est de 1 a 2 jours ouvres" 

Pour un usage interne, on peut se "fabriquer", avec quelques outils logiciels nos propres certificats. C'est d'ailleurs ce que Ton 
va faire dans le prochain TP. 

Comment verifier un certificat ? 

C'est exactement la meme methode que celle utilisee lors de la verification de la signature electronique d'un document. 

La figure suivante illustre un exemple de certificat emis pour un serveur WEB. 


Figure 19-5. Certificat 


Bien sur, vous devez "detenir" le certificat contenant la cle publique de l'autorite de certification. 

Lorsque vous devez verifier le certificat d'un sen’eur WEB , c'est votre navigateur qui s'en charge ; Lors de Installation d'un 
navigateur recent, un certain nombre de certificats d'AC sont charges automatiquement. Si le certificat du site que vous 
consultez a ete valide par une de ces AC, vous n'aurez pas de fenetres d'alertes... (Voir le TP pour plus de precisions). 


Des protocoles, utilisant ces techniques, ont ete developpes pour securiser des services (WEB, telnet, POP, SMTP, etc.). 

En particulier, le protocole SSL (Secure Socket Layer), initialement propose par la societe Netscape est aujourd'hui adopte 
par l'ensemble de la communaute informatique pour 1'authentification et le chiffrement des donnees entre clients et serveurs. 

II existe actuellement un nouveau standard base sur SSL, TLS (Transaction Layer Security) normalise par LIETF (Internet 
Engineering Task Force). 


19.5. Le protocole SSL 

19.5.1. Principes du protocole SSL 

C0115U par Netscape, SSL est un protocole se placant entre la couche application et la couche transport permettant 
d'assurer la confidentialite, 1'authentification et l'integrite des donnees lors des communications. 

II peut etre applique a des applications comme HTTP, POP, FTP,... 

Sous Linux, vous pouvez aller consulter le fichier /etc/services pour connaitre les numeros de port correspondants aux 
nouvelles implementation de ces services au dessus de SSL. 


Figure 19-6. Le protocole SSL 


19.5.2. Exemple de fonctionnement du protocole SSL avec un serveur WEB 

En ce qui concerne le HTTP, il a ete necessaire de definir une nouvelle methode d'acces dans les URL baptisee HTTPS pour se 
connecter au port d'un serveur utilisant le SSL qui porte par defaut le numero 443. 

Le mecanisme est illustre par la figure suivante : 


Figure 19-7. HTTP over SSL 


1 - le navigateur fait une demande de transaction securisee au serveur en envoyant sa requete HTTPS://, il demande done le 
certificat garantissant la cle publique du serveur. 

2 - le serveur lui envoie son certificat d'authentification delivre par une autorite de certification (normalement organisme 
officiel). Ce certificat comporte une cle publique. 

3 - Le navigateur s'assure tout d'abord que le certificat delivre est valide puis il envoie au serveur une cle secrete codee issue 
de la cle publique (de 56 ou 128 bits). Seul le serveur sera done capable de decoder cette cle secrete car il detient la cle privee. 
Cette cle secrete ainsi creee sera utilisee pour encoder les messages (cryptographie symetrique). L'algorithme a cle secrete 
utilise (ex : DES, RC4) est negocie entre le serveur et le client. 


19.5. Le protocole SSL 
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4 - Le serveur et le client possede maintenant une cle secrete partagee (la cle de session) et les echanges sont faits par 
1'intermediaire de cette cle. Pour assurer l'integrite des donnees, on utilise un algorithme de hash (ex : MD5, SHA). S'il y a 
deconnexion, une nouvelle cle de session sera negociee. 

3 remarques et le supplice est termine puisque vous allez passer a la mise en oeuvre a travers le TP sur HTTPS : 

• On voit bien que ce mecanisme permet d'assurer la confidentialite (mecanisme de chiffrement), l'integrite 
(algorithme de hash) et l'authentification (certificats). 

• Dans le schema presente, et a des fins de simplification, il n'a pas ete pris en compte l'authentification du client. Cela 
est possible avec le protocole SSL meme si seule l'authentification du serveur est implementee par defaut. 

• Le chiffrement asymetrique ne sert finalement qu'a l'authentification et a transmettre la cle de session de maniere 
securisee ; c'est ensuite, cette cle de session (symetrique) qui sert a chiffrer les echanges. En effet, le chiffrement 
symetrique est beaucoup plus rapide que le chiffrement asymetrique. 


Chapitre 20. TP sur le serveur WEB securise 


L'objectif de ce TP est de developper une securite concernant l’authentification d’un serveur HTTP (le 
navigateur doit etre certain de se connecter au "bon" serveur et les donnees qui transitent doivent etre 
cryptees). 

Prealable : 

♦ apache est installe et le service demarre sans probleme ; 

♦ vous avez lu le cours sur les notions de base du chiffrement ; 

♦ vous avez fait les 6 TP sur le serveur HTTP et notamment le dernier concernant les serveurs 
virtuels. 


20.1. Presentation du TP 

Les acces a des pages web se font a l’aide du protocole http, en empruntant le reseau Internet. Aucune garantie de 
confidentialite n’est assuree lors de ces acces ; il est relativement simple a un pirate d’intercepter vos requetes (votre code de 
carte bleue) et les reponses faites par le serveur. 

En outre, vous n’avez pas une certitude absolue d'etre en cours de consultation du site que vous croyez. 

Aftn de palier a ces inconvenients, le protocole https avec l'authentification SSL peut etre mis en oeuvre. D'une maniere tres 
schematique, il permet d'encapsuler et de crypter le trafic http. Ainsi, il sera quasiment impossible a un pirate qui intercepterait 
des acces a des pages chargees via le protocole https de decrypter cet echange, et done de recuperer des informations 
confidentielles. En outre, https permet de s'assurer que le serveur auquel on accede est bien celui que Ton croit. 

HTTPS offre d'autres possibilites qui ne sont pas abordees ici (par exemple, authentifier la personne qui accede au serveur). 

Au cours de ce TP, vous allez mettre en place le protocole SSL sur votre serveur WEB 

Dans le TP6, vous avez configure un serveur virtuel auquel Ton accede avec furl "http://wiki.domainl.org" ; c'est ce serveur 
que Ton va securiser. 


20.2. Les paquets a installer 

Nous supposons que vous etes sur une distribution debian. Sinon, il faudra legerement adapter ce qui suit notamment en ce qui 
concerne les noms de paquets a installer et l'emplacement des fichiers de configuration. 

• libapache-mod_ssl ; 

• openssl ; 

• libssl ; 

Mod_ssl est le module apache qui implemente https (http over ssl). Le serveur https ecoute par defaut sur le port 443 au lieu de 
80 et correspond a un virtual host configure par des directives specifiques a mod_ssl. 

OpenSSL foumit notamment une application pour creer des certificats. 


20.3. Etape 1 : La creation des certificats 

Connectez vous sous root et allez dans le repertoire de configuration de votre serveur Apache /etc/apache (on peut evidemment 
choisir un autre repertoire) et creez un repertoire appele certs. Vous vous placerez dans ce repertoire avant d’effectuer les 
manipulations. 
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20.3.1. Creation du certificat serveur 

Generation de la cle prive 

On genere la clef prive avec la commande suivante en defmissant un nom de fichier : 

openssl genrsa 1024 > servwiki.key 

La sortie attendue est la suivante : 


Generating RSA private key, 1024 bit long modulus 
++++++ 


e is 65537 (0x10001) 


++++++ 


Si vous souhaitez que cette cle ait un mot de passe (qui vous sera demande a chaque demarrage d'apache, done a eviter !), 
ajoutez "-des3" apres "genrsa". 

Ceci a pour effet de creer une cle SSL (fichier servwiki.key), ne la perdez pas... e'est votre cle prive... (ni eventuellement le 
mot de passe) ! 

Vous pouvez observer son contenu : less servwiki.key 

BEGIN RSA PRIVATE KEY 

MIICXgIBAAKBgQDQG9wvnuLC4aqzaJCAWGAlAxFzg00h jPObhqlmukzsGyuuWBFG 
vj/k9vFNYX55DHctb/ 4cXtsZRWWvgc jtYnCVwRu+DA jFsk/ /kOMfhplmiv9xQ+ZL 
8w/Xrnm8 JWdSStS4LCMnsuIiQtLbhMrQnUV02hAtbI ZiSM3k60 j ShEZhDQIDAQAB 
AoGAHiOcBW+lk+q jFPbBlUq7UJSMUEKmyYmlvVSPCklTZB0gfVxZzPdDTpEcNks/ 
yotrLFSD9Vsvy/ 9LGmLoXruadWlK67PCUnpM5/oRRGgy8t 73YKrxf lAU5Gtym jvc 
ZCf OCAs 6wBf 1 3yLU31Qc4WqVM2vTyUH7 6 jebVhxEw8k630UCQQD/ lOmAXV+TxBPG 
ZTPFbzUeAE5rQqqOW4aoMNvM61Yn/ 1 9h6SzY2Mf SQvFIBNns /ef CRrqOMeyvPWUG 
glokf ogTAkEA0D7pDf /D2Yu5msbOAGF4QBUlerLzpi/s 6Rv6VEPYCGnHQlo3 jbg9 
FZb jH J4UcYyYaA8 j IrkY+FI JM88YlGbWXw JBAILEdv J5R/CFCkKf 2 j2y IWmLalol 
En8 fw4 3XI5L0PB7Hxx6KDLVu4XzVYQyahTZBdqR0eMlUNZ JBh JE2t03wi2cCQQCp 
JkCFd3esOBrNxqf zlThozRFofcz88za7TldydL0YcFtC4Sb4vWsYizwktZ6 jcPEm 
rQz8Gl 9W7MO+ynwLptB/AkEAlt snFXoY z 17 lenmTdugGxbv0RqAd5iQpDYQkDSdn 
2LImp/3YnXN J9qpY91 j 87tKthh/Oetu6SHlmLglLOYNIdw== 

END RSA PRIVATE KEY 


Protegez votre fichier en faisant : chmod 400 servwiki.key 

De multiples autres options sont possibles mais il est inutile d'alourdir le sujet (a creuser pour une eventuelle PTI...) 

A partir de votre cle, vous allez maintenant creer un fichier de demande de signature de certificat (CSR Certificate 
Signing Request). 

On genere la demande de certificat avec la commande suivante : 

openssl req -new -key servwiki.key > servwiki.csr 

Le systeme va vous demander de saisir des champs ; remplissez les en adaptant sauf le champ "Common Name" qui doit etre 
identique au nom d'hote de votre serveur virtuel : 

Country Name (2 letter code) [AU]:FR 

State or Province Name (full name) [Some-State] : CORSE 
Locality Name (eg, city) []:Ajaccio 

Organization Name (eg, company) [Internet Widgits Pty Ltd]:LLB 
Organizational Unit Name (eg, section) []:BTSINFO 
Common Name (eg, YOUR name) [ ] : wiki . domainl . org 
Email Address [] : 

Ce riest pas la peine de saisir d'autres "extra attributes"... 

Ceci a pour effet de creer le formulaire de demande de certificat (fichier servwiki.csr) a partir de notre cle prive prealablement 
creee. 

Ce fichier contient la cle publique a certifier. Un less servwiki.csr nous donne : 

BEGIN CERTIFICATE REQUEST 

MI IBsTCCARoCAQAwcTELMAkGAlUEBhMCRIIxFTATBgNVBAgTDENvcnNIIGRI IFNI 
ZDEQMA4GAlUEBxMHQWphY2NpbzEMMAoGAlUEChMDTExCMREwDwYDVQQLEwhCVFMg 
SU5GTzEYMBYGAlUEAxMPcHJvZi5idHNpbmZvLmZyMIGfMA0GCSqGSIb3DQEBAQUA 
A4GNADCBiQKBgQDSUagxPSv3LtgDV5sygtl2kSbN/NWPOQUiPlksOkF2NkPfwW/m 
f 55dDlhSndlOM/ 5kLbSBo5ieE3TgikF0Ikt jBWm5xSqewM5QDYzXFt031DrPX63F 
vottCKTQoVItdEu JPMahVsXnDyYHeUURRWLWwcOBzEgFZGGw7wiMF6wt 5QIDAQAB 
oAAwDQY JKoZIhvcNAQEEBQADgYEAwwI 4UvkfhBvyRrUXt jrLf ZXLxZlF9o+URmHJ 
ysvrLKf esVBEzdA9mqklOwIwLf e8Fw2fhip2LGqvcCPxDMoIE/0cDkqGRg9iKp7D 
DMuy 691PTEB6UtpVKO/leageOoug6Vqdf GAYMMSGyWFu09FE4UE6HspVodb2 OwGV 
4H8qZuk= 

END CERTIFICATE REQUEST 


20.3.1 . Creation du certificat serveur 
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Maintenant, deux choix s'offrent a vous : 

• envoyer le fichier servwiki.csr a un organisme (le tiers de confiance ou l'autorite de certification (CA)) et ainsi 
obtenir le certificat dument signe par la cle prive de l'organisme (apres avoir paye), 

• ou bien signer vous meme notre certificat. 

C'est ce dernier choix que nous allons voir. 


20.3.2. Creation du certificat de l'autorite de certification 

Pour signer un certificat, vous devez devenir votre propre autorite de certification, cela implique done de realiser une cle et un 
certificat signe. 

La creation de la cle prive de l'autorite de certification se fait comme precedemment : 

openssl genrsa -des3 1024 > ca.key 

Ce qui a pour effet de creer la cle prive de l'autorite de certification. Dans ce cas, il vaut mieux rajouter l'option -des3 qui 
introduit l'usage d’une "passphrase" (mot de passe long qui peut meme contenir du blanc) car c'est cette cle prive qui signera 
tous les certificats que Ton emmettra ; cette "passphrase" sera done demandee a chaque utilisation de la cle. 

Ensuite, a partir de la cle prive, on cree un certificat x509 pom une duree de validite d’un an auto-signe : 

openssl req -new -x509 -days 365 -key ca.key > ca.crt 

11 faut saisir la passphrase... puisqu'on utilise "ca.key" que Ton a protegee. Et on donne les renseignements concernant cette 
fois-ci l'autorite de certification (c'est a dire nous-meme). 

Attention : le nom de "Common Name" doit etre different de celui qui a ete donne pour la cle. 

Country Name (2 letter code) [AU]:FR 

State or Province Name (full name) [Some-State] : CORSE 
Locality Name (eg, city) []:Ajaccio 

Organization Name (eg, company) [Internet Widgits Pty Ltd]:LLB 
Organizational Unit Name (eg, section) []:BTSINFO 
Common Name (eg, YOUR name) [] :cert_CA 
Email Address [] : 

C'est notre certificat d’autorite de certification qui va permettre de signer les certificats crees. 


20.3.3. La signature du certificat serveur par le CA (Certificate Autority) 

La commande qui signe la demande de certificat est la suivante : 

openssl x509 -req -in servwiki.csr -out servwiki.crt -CA ca.crt -CAkey ca.key\ 
-CAcreateserial -CAserial ca.srl 

Le certificat signe est le fichier "servwiki.crt". La sortie de la commande attendue est la suivante : 

Signature ok 

sub ject=/C=FR/ST=CORSE/L=A jaccio/0=LLB/OU=BTSINFO/CN=wiki . domainl . org 

Getting CA Private Key 

Enter pass phrase for ca.key: 

Vous avez maintenant un certificat pour votre serveur se nommant servwiki.crt. 

less servwiki.crt 


BEGIN CERTIFICATE 

MIICVDCCAbOCAQEwDQY JKoZIhvcNAQEEBQAwdDELMAkGAlUEBhMCRIIxFTATBgNV 
BAgTDENvcnNIIGRI IFNlZDEQMA4GAlUEBxMHQWphY2NpbzEMMAoGAlUEChMDTExC 
MREwDwYDVQQLEwhCVFMgSU5GTzEbMBkGAlUEAxMSc2VydmVlci5idHNpbmZvLmZy 
MB4XDTAOMDIwODE2M jQyNloXDTAOMDMwOTE2M jQyNlowcTELMAkGAlUEBhMCRIIx 
FTATBgNVBAgTDENvcnNIIGRI IFNlZDEQMA4GAlUEBxMHQWphY2NpbzEMMAoGAlUE 
ChMDTExCMREwDwYDVQQLEwhCVFMgSU5GTzEYMBYGAlUEAxMPcHJvZi5idHNpbmZv 
LmZyMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDSUagxPSv3LtgDV5sygt 12 
kSbN/NWPOQUiPlksOkF2NkPfwW/mf 55dDlhSndlOM/5kLbSBo5ieE3TgikFOIkt j 
BWm5xSqewM5QDYzXFt 031DrPX63Fvo+tCKTQoVItdEu JPMahVsXnDyYHeUURRWLW 
wc0BzEgFZGGw7wiMF6wt5QIDAQABMA0GCSqGSIb3DQEBBAUAA4GBALD64 OiwKPMf 
pqdYtfvmLnA7CiEuao60i/pzVJE2LIXXXbwYjNAM+7Lov+dFT+b5FcOUGqLymSG3 
kSK600auBHItgiGI7C87u4E JaHDvGIUxHxQQGsUM0SCIIVGK7Lwm+8e9I2X0G2GP 
9t/rrbdGzXXOC13up99naL5XAzCIp6r5 
END CERTIFICATE 

II faut maintenant installer le certificat de l'autorite de certification dans chaque navigateur client. C'est lui qui va valider 
le certificat re 5 U par le client lors de la requete https://. 
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20.3.4. Installation du certificat d'autorite de certification 

Pour installer sur votre navigateur le certificat de Tautorite de certification (fichier ca.crt) : 

• "Arrangez-vous" pour avoir le certificat disponible a partir du client (disquette, ftp, ssh, repertoire partage...) 

• Sous Windows, un clic droit sur le fichier devrait vous permettre de lancer l'assistant d'installation du certificat dans 
Internet Explorer. Vous devez l'installer en tant qu'autorite de certification. Verifiez en suite que le certificat s'y 
trouve bien sous le nom de "cert_CA". 

• sur Mozilla : 

♦ Edition/preference/Confidentialite et Securite/Certificats 

♦ Bouton de commande : gestion des certificats 

♦ Onglet : autorite 

♦ Bouton de commande : importer 

♦ etc... 

II ne reste plus maintenant qu'a configurer apache. 


20.4. Etape 2 : configuration d'Apache 

Verifiez dans un premier temps que le module ssl est bien pris en compte (non commente dans /etc/apache/modules.conf). 

cat /etc/apache/modules . conf | grep ssl 

LoadModule ssl_module /usr/lib/apache/1 . 3/mod_ssl . so 

Si le module est commente, decommentez-le et relancez le serveur. 

Editez le fichier de configuration d'apache /etc/apache/httpd.conf et verifiez et/ou modifiez et/ou rajoutez : 


#On verifie que le serveur ecoute bien sur le port 443 
Listen *:443 

#On installe le certificat de 1' autorite de certification 
SSLCertif icateFile /etc/ apache / cert s/ca . crt 

SSLCertif icateKeyFile /etc/ apache /cert s/ca . key 

#On configure notre virtualHost (a adapter...) 
<VirtualHost wiki . domain 1 . org : 443> 

ServerName wiki.domainl.org 
DocumentRoot /le/chemin 

#0n installe le certificat pour ce serveur Web 
SSLCertif icateFile /etc/ apache/ servwiki . crt 

SSLCertif icateKeyFile /etc/ apache /certs /servwiki . key 

</VirtualHost> 


Si vous voulez ne pouvoir acceder a ce serveur que par le protocole HTTPS, il faut supprimer les lignes correspondante a ce 
virtualhost ecoutant sur le port 80 dans ce fichier. 

Relancez le serveur. 

Vous pouvez maintenant "passer" a la phase de test... 

A partir d'un navigateur sur votre poste client : 
https : //wiki . domain 1 . org 

Votre page devrait s'afficher normalement. 

Si vous avez une alerte de securite, c'est que vous avez mal realise une etape. Selon l’alerte, reprenez l’etape correspondante. 
Vous pouvez maintenant revoir, dans la partie cours, le schema concernant le protocole SSL et l’application HTTP (fig 1.7). 

Chapitre 21. Installation d'un serveur SAMBA 


Partage de ressources sous GNU/Linux pour les clients GNU/Linux ou Windows avec le protocole SMB. 


21.1. Introduction 

Avec SAMBA vous allez mettre en place un service de partage de disque pour des clients reseau. Ceux-ci peuvent etre sous 
Linux ou sous Windows. Nous verrons surtout la configuration du service serveur sous Linux, et la configuration des clients 
sous Windows. 


Chapitre 21 . Installation d'un serveur SAMBA 
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Samba est un produit assez populaire. II existe de plus en plus d'outils de configuration en environnement graphique qui 
simplifient les taches sur un serveur en exploitation (partage de ressources, creation de comptes utilisateurs). Comme nous n'en 
sommes pas la, nous allons realiser les operations manuellement. 

Vous devez savoir ce qu'est un domaine Microsoft, un groupe de travail, comment fonctionne la resolution de nom NetBIOS 
avec le protocole NetBIOS, ce qu'est un serveur WINS, un serveur d’authentification (controleur de domaine). 

21.2. Elements d'installation et de configuration de SAMBA 

21.2.1. Environnement de SAMBA 

SAMBA est installe sur la Freeduc-sup. Si vous n'utilisez pas cette distribution, installez les paquets. II ne devrait 
normalement pas y avoir de problemes de dependances. 

Le paquet installe principalement samba et samba-common : 


• le programme nmbd qui assure la resolution de nom NetBIOS et smbd qui assure le partage de ressource SMB/CIFS 
dans /usr/ sbin, 

• le script d'initialisation dans /etc/init . d, 

• un fichier de configuration / etc/ samba/ smb . conf, 

• une documentation complete dans /usr/share/doc, 

• le service de journalisation (log) dans /var/log/samba, 

• des outils comme smbpasswd pour la creation des comptes samba et nmblookup pour verifier le fonctionnement de 
la resolution de noms NetBIOS. 

La commande dpkg-reconf igure samba vous demande si samba doit etre lance en mode autonome, choisissez « oui », 
si un fichier /etc/samba/smbpasswd doit etre cree, choisissez egalement « oui ». La derniere option vous permet d’avoir 
une base de donnees de compte creee automatiquement a partir de la base de compte du fichier / etc/passwd. 

Faites tout de suite une sauvegarde du fichier / etc/ smb . conf. 

Dans la suite du document, vous remplacerez $NOM_HOTE par le nom d'hote de votre machine qui servira egalement de nom 
NetBIOS. 


21.2.2. Le fichier de configuration sous Linux 

Voici le fichier de configuration qui nous servira de base de travail. II va permettre de : 


• definir $NOM_HOTE comme controleur de domaine, 

• mettre en place l'authentification des utilisateurs, 

• partager des disques et une imprimante pour un client Windows, 

• partager du dossier personnel d'un utilisateur sous Linux comme etant son repertoire personnel sous Windows. 
Le fichier de configuration comprend essentiellement deux parties : 


• une partie « generate » qui definit le comportement general du serveur et la strategic adoptee pour les services 
communs (CPD, mode d'authentification, service WINS), 

• une partie share, qui definit les ressources partagees et les permissions d’acces. 


21.2.3. Les etapes de la configuration du serveur 

Nous allons realiser les operations suivantes : 


• Verifier et valider le fichier de configuration, 

• Declarer les ressources partagees, 

• Creer un compte d’utilisateur pour SAMBA. 

II n’y aura plus qu’a tester la configuration a partir d’un client. 

Attention, un compte systeme n’est pas un compte SAMBA. Faites bien la distinction entre les deux. 
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21.2.4. Premiere etape - Installer le fichier de configuration 

Configurer l'environnement de samba par le fichier /etc/ samba/ smb . conf et activez le service avec la commande 
/etc/init . d/samba start. Cette operation doit etre realisee chaque fois que le fichier de configuration est modifie. 
Veriftez la configuration a l'aide de la commande testparm | more. 

Corrigez les erreurs eventuelles de configuration. 

21.2.5. Deuxieme etape - Declarer les ressources partagees 

Cette operation est realisee dans la partie share du fichier smb . conf. Chaque fois que vous ajoutez ou modifiez une 
ressource, relancez le service serveur. 

Pour l'authentification sur un domaine, vous devez creer un repertoire net logon, par exemple : 

mkdir -p /home/samba/netlogon 

et declarer la ressource dans la section share du fichier / etc/ smb . conf. 

21.2.6. Troisieme etape - Creer un compte d'utilisateur autorise 

La creation d'un compte d'utilisateur SAMBA et de son mot de passe est realisee a l'aide de la commande smbpasswd. 

smbpasswd -a MonCompte MonMotDePasse 

ajoute le compte SAMBA MonCompte avec le mot de passe MonMotDePasse dans le fichier /etc/samba/smbpasswd. 

Voir man smbpasswd ou smbpasswd — help pour le mode d'utilisation de la commande. Le compte systeme doit etre 
prealablement cree avec la commande unix adduser. 

Trois remarques : 


• Les manipulations peuvent paraitre fastidieuses si vous avez un grand nombre de comptes utilisateurs. 

• Si vous disposez de nombreux comptes d'utilisateurs sur votre systeme Linux, vous disposez d'un script qui permet de 
creer automatiquement les comptes SAMBA a partir du fichier / etc/passwd. Voir man mksmbpasswd pour le 
mode d'utilisation de la commande. II est egalement possible de creer sans difficulte un script qui, a partir d'un fichier 
texte cree les comptes systemes et les comptes SAMBA. 

Toutes les indications sont dans la documentation de SAMBA. 


21.2.7. La configuration d'un client Windows 

La configuration du client Windows ne doit pas poser de difficulte. 

Configurez le client pour les reseaux Microsoft afin que futilisateur soit authentifie par le serveur de votre domaine. Ici le 
controleur de domaine est le serveur SAMBA. Verifiez la configuration du protocole TCP/IP, relancez la machine. Vous 
pourrez vous authentifier sur le serveur SAMBA. 

Toutes les commandes net use, net share ou les outils comme le voisinage reseau vous permettent d'acceder aux 
ressources du serveur (disques partages, imprimantes, disque personnels). 

Un probleme a eviter : 

Le compte utilisateur SAMBA dispose de moins de privileges que le compte root. Si vous partagez un disque et que vous faites 
les manipulations sous le compte root, faites attention aux droits, car si root est proprietaire (chmod 700), le client SAMBA ne 
pourra pas acceder au disque. 


21.3. Annexe : exemple de fichier de configuration de SAMBA : 

Annexe 1 : Exemple de fichier de configuration de Samba : 

Le fichier ci-dessous est simplifie, vous trouverez de nombreuses autres options 
dans la documentation. 


# Date: 2003/10/03 12:48:57 

# Global parameters 
[global] 

workgroup = INFOGESTION 

netbios name = main_serveur 

server string = %h server (Samba %v) 

encrypt passwords = Yes 

passwd program = /usr/bin/passwd %u 

passwd chat = *Enter\snew\sUNIX\spassword: * %n\n *Retype\snew\sUNIX\spassword : * %n\n . 


21 .2.4. Premiere etape - Installer le fichier de configuration 
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syslog = 0 

max log size = 1000 

socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=4 0 96 SO_RCVBUF=4 0 96 

logon script = logon.cmd 

logon path = \\%N\prof iles\%u 

logon drive = h: 

logon home = \\homeserver\%u 

domain logons = Yes 

os level = 33 

preferred master = True 

domain master = True 

dns proxy = No 

wins server = localhost 

invalid users = root 

[netlogon] 

path = /home/samba/netlogon 
read only = yes 
browsable = no 


[homes ] 

comment = Home Directories 
read only = No 
create mask = 0700 
directory mask = 0700 
browseable = No 

[partage] 

comment = Ressource partagees 

path = /tmp 

read only = No 

create mask = 0700 

printable = Yes 

browseable = No 


[tmp] 

comment = Partage 
path = /tmp 
create mask = 0700 
directory mask = 0700 
guest ok = Yes 

[printers ] 

comment = All Printers 
path = /tmp 
create mask = 0700 
printable = Yes 
browseable = No 


Chapitre 22. Travaux pratiques : installation d'un serveur 
SAMBA 


Partage de ressources sous GNU/Linux pour les clients GNU/Linux ou Windows avec le protocole SMB. 

Ce document decrit comment utiliser un serveur samba comme serveur d'identification et d'authentification 
pour des clients Windows. Le serveur simule un controleur de domaine NT4 Server ou 2000. 

Vous utiliserez 2 postes en reseau. Le premier est sous Linux, le second sous Windows. On desire installer et 
configurer le service de partage de fichiers SAMBA sous Linux. Le client Windows doit permettre 
l'identification des utilisateurs sur le serveur en utilisant les mots de passe cryptes. 

Cet atelier permet la mise en oeuvre du protocole SMB. II permet egalement d'envisager la mise en place du 
partage de fichiers et d'imprimantes. 


22.1. Deroulement des operations 

Les operations vont se derouler en 6 etapes : 

• Configuration du fichier /etc/smb . conf et demarrage des services, 

• Creation d'un compte utilisateur, 

• Creation du fichier d'authentification pour SAMBA /etc/smbpasswd, 

• Creation de ressources disques partagees en lecture et en lecture/ecriture, 

• Configuration du client Windows 9x, 

• Procedure de test. 
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22.2. Configuration du fichier smb.conf et demarrage des services 

Le fichier de configuration smb.conf est dans le repertoire /etc/ samba. Faites une copie de sauvegarde de ce fichier puis 
ouvrez l'original avec un editeur. Modifiez-le afin que les utilisateurs puissent acceder au repertoire /tmp du serveur en rw et 
a leur repertoire personnel en rw egalement. 

Vous utiliserez et adapterez l'exemple donne dans la fiche de cours. 


22.3. Creation d'un compte utilisateur 

Vous allez tout d'abord : 

• creer le compte systeme 

• creer le compte samba. 

Creez un compte systeme a l'aide de la commande adduser. 

Pour ce compte systeme vous creerez un compte samba a l'aide de la commande smbpasswd. 


22.4. Verification de la configuration sur le serveur SAMBA 

Demarrez le service. Vous pouvez utiliser la commande testparm pour valider la configuration du serveur. Verifiez 
egalement la table des processus et les traces dans le fichier log. 

Le fichier DIAGNOSIS . txt de la documentation de samba, donne une procedure en 10 points pour verifier que tout 
fonctionne. Localisez ce fichier, (en general dans /usr/doc ou dans /usr/ share/ doc/ samba) ouvrez-le avec un 
editeur et realisez la procedure de test qui y est decrite. 


22.5. Procedure de test a partir d'un client Linux 

Si le serveur fonctionne correctement et que vous utilisez une Freeduc-Sup, vous pouvez utiliser le module externe (plugin) 
smb directement a partir de konqueror. 

Lancez konqueror a partir d'un autre client linux et utilisez l'url suivante : 

smb: //@IP_Du_Serveur/un_partage_Samba_public ou smb: //loginname@Nom_Du_Serveur/. Vous 
devriez avoir une fenetre equivalente a celle donnee ci-dessous. 


Figure 22-1. Acces a un serveur SAMBA a partir d'un client Linux 


En ligne de commande (man smbmount smbelient mount), il est fortement deconseille de mettre le mot de passe en clair, car 
outre le fait qu'il soit visible lors de sa saisie sur la console, il apparaitra en clair dans la liste des processus avec un simple ps. 
Pour un montage automatique du systeme de fichiers partage dans fstab par exemple, on utilisera un fichier credentials avec 
f option du meme nom et on veillera a positionner les droits minimum. 

[ jm j Qpastorius jmj]$ smbmount //eminem/homes ~/smbmnt -o username=jmj 
Password : 

[ root@pastorius root]# mount -t smbfs //eminem/outils /mnt/admin -o username=admin 
Password : 

[ jm j @pastorius jmj]$ smbelient //eminem/homes -U jmj 
Password : 

Domain= [EMINEM] OS=[Unix] Server= [ Samba 3.0.7] 
smb: \> 

Concernant la derniere commande, apres le prompt smb, vous pouvez ensuite taper help pour obtenir l'aide. 

Exemple d’utilisation de tar avec les partages de fichiers samba : 

smbelient //monpe/monpartage " " -N -Tc sauvegarde . tar users/docs 


22.6. Procedure de test a partir d'un client Windows 

La procedure de tests sera realisee a partir d'un client w98. Pour d'autres types de clients, il sera peut etre necessaire de creer 
des comptes d'ordinateurs, ou adapter la configuration du serveur SAMBA. Il faudra se referer a la documentation situee en 
general dans /usr/ share/ doc/ samba. 

Configurez votre client Windows pour qu'il puisse faire partie de votre domaine NT (Panneau de configuration, icone Reseau) 
declare sur votre serveur Linux. 

Au demarrage du PC, vous devez avoir, sur le client, une fenetre qui vous demande de vous identifier dans le domaine defini. 
Verifiez faeces. 


22.2. Configuration du fichier smb.conf et demarrage des services 
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Une fois la session ouverte vous devez pouvoir utiliser les outils et commandes suivantes : 

• Explorateur, 

• Voisinage reseau, 

• Demarrer, executer, WNomDuServeurSamba 

• Consultez sur le serveur les fichiers /var/ log/ samba/ log . %m 

• Verifiez les acces en lecture / ecriture sur les espaces disques partages. 

Modification de l'environnement serveur 

Creez sur le serveur les espaces supplementaires /mnt /apps et /mnt /part age. Le premier est en lecture uniquement, le 
deuxieme en lecture / ecriture. Modifiez smb . conf , relancez le service serveur, testez les acces. 


22.7. Automatisation de creation de compte. 

On donne, dans un fichier texte « personnes », une liste de personnes. Le fichier a la structure suivante : 


Nom Prenom 


par exemple : 

TUX Junior 
TUX Tuxinette 
TUX Padre 


En general un fichier d'importation n'est pas aussi simple car on peut avoir des prenoms composes, ou des noms comprenant 
des « espaces ». Les champs sont distingues par des separateurs comme un point-virgule par exemple. II faudra dans ce 
cas traiter differement le fichier. 

Le principe est simple : 

• On cree un script qui va creer automatiquement les comptes systemes, 

• Le compte est represente par la concatenation du nom et du prenom 

• Le mot de passe par defaut est la concatenation du nom et du prenom 

• Les groupes sont prealablement crees. 

Vous pouvez avoir des differences entre les distributions type RedHatetc... ou Debian. La commande passwd par exemple ne 
supporte pas l'option — stdin. Vous avez done ci-dessous deux esmples duplications qui tiennent compte de ces 
differences. On donne le script suivant qui cree les comptes systemes : 

cat persons I while true ; do 

# Si la ligne est vide on quitte, 

# il ne faut done pas de ligne vide dans le fichier 
read ligne 

if [ "$ligne" == "" ] ; then 
exit 0 
fi 

#On recupere les parametes prenom, nom 
set — $ligne 

echo $2 $1 

useradd $1$2 -G $1$2 

echo $1$2 | (passwd — stdin $ 1 $ 2 ) 

done 

Testez et verifiez le fonctionnement du script. Modifiez le script pour qu'il cree egalement les comptes SAMBA. 

Version pour Debian 

cat persons I while true ; do 
read ligne 

if [ "$ligne" == "" ] ; then 
exit 0 
f i 

set — $ligne 

echo $2 $1 
addgroup $1$2 
useradd $1$2 -G $1$2 
echo $1$2:$1$2 | chpasswd 
done 


22.8. Administration graphique 

Vous pouvez utiliser des outils graphiques d'administration de SAMBA comme swat ou webmin. Pour utilisez swat, 
decommentez la ligne dans /etc/ inetd . conf : 
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swat stream tcp nowait root \ 

/usr/sbin/tcpd /usr/sbin/swat 

Activez les services apache et inetd. Ouvrez le navigateur et saisissez : 

http : //localhost : 901 

Ouvrez une session avec le compte root. 

Pour utiliser webmin, activez les services apache et webmin. Dans un navigateur allez sur l'url : 

https : //localhost : 10000 

Ouvrez une session avec le compte root et cornme mot de passe « knoppix » qui a ete mis par defaut sur la Freeduc-Sup. 
Dans l'onglet Serveurs, vous pourrez administrer votre serveur SAMBA. 


Chapitre 23. Elements de cours sur le service DHCP 

L'adressage IP dynamique - Fiche de cours 

L'adressage IP dynamique - Fiche de cours 


Elements de cours sur le service DHCP 


23.1. Resume 

Presentation, installation et configuration d'un serveur DHCP 
Mots cles : « Serveur DHCP », « Agent relais DHCP » 

Description et objectifs de la sequence 
L'atelier propose 

• d'installer un serveur DHCP sous Linux, 

• d'installer un client DHCP sous Linux 

• d'installer un client DHCP sous Windows 

• de realiser une phase de test avec les commandes winipcfg et ipconfig de Windows 

Les elements sur l'analyse de trame, notamment les trames bootp, seront retraites lors des TP sur la metrologie. 


23.2. Role d'un service DHCP 

Un serveur DHCP ( Dynamic Host Configuration Protocol) a pour role de distribuer des adresses IP a des clients pour une 
duree determinee. 

Au lieu d'affecter manuellement a chaque hote une adresse statique, ainsi que tous les parametres tels que (serveur de noms, 
passerelle par defaut, nom du reseau), un serveur DHCP alloue a un client, un bail d'acces au reseau, pour une duree 
determinee (duree du bail). Le serveur passe en parametres au client toutes les informations dont il a besoin. 

Tous les noeuds critiques du reseau (serveur de nom primaire et secondaire, passerelle par defaut) ont une adresse IP statique ; 
en effet, si celle-ci variait, ce processus ne serait plus realisable. 

Ce processus est mis en oeuvre quand vous ouvrez une session chez un fournisseur d'acces Internet par modem. Le fournisseur 
d'acces, vous alloue une adresse IP de son reseau le temps de la liaison. Cette adresse est liberee, done de nouveau disponible, 
lors de la fermeture de la session. 


23.2.1. Pourquoi mettre en place un reseau TCP/IP avec des adresses IP dynamiques 

L' affectation et la mise a jour d'informations relatives aux adresses IP fixes peuvent representer une lourde tache. Afin de 
faciliter ce travail et de simplifier la distribution des adresses IP, le protocole DHCP offre une configuration dynamique des 
adresses IP et des informations associees. 

Avantages de DHCP dans I'administration d'un reseau ? 

1. Le protocole DHCP offre une configuration de reseau TCP/IP fiable et simple, empeche les conflits d'adresses et 
permet de controler l'utilisation des adresses IP de fagon centralisee. Ainsi, si un parametre change au niveau du 
reseau, comme, par exemple l'adresse de la passerelle par defaut, il suffit de changer la valeur du parametre au niveau 
du serveur DHCP, pour que toutes les stations aient une prise en compte du nouveau parametre des que le bail sera 
renouvele. Dans le cas de l'adressage statique, il faudrait manuellement reconfigurer toutes les machines. 


Chapitre 23. Elements de cours sur le service DHCP 
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2. economic d'adresse : ce protocole est presque toujours utilise par les fournisseurs d'acces Internet qui disposent d'un 
nombre d'adresses limite. Ainsi grace a DHCP, seules les machines connectees en ligne ont une adresse IP. En effet, 
imaginons un fournisseur d'acces qui a plus de 1000 clients. II lui faudrait 5 reseaux de classe C, s'il voulait donner a 
chaque client une adresse IP particuliere. S'il se dit que chaque client utilise en moyenne un temps de connexion de 
10 mn par jour, il peut s'en sortir avec une seule classe C, en attribuant, ce que Ton pourrait appeler des "jetons 
d'acces" en fonction des besoins des clients. 

3. Les postes itinerants sont plus faciles a gerer 

4. Le changement de plan d'adressage se trouve facilite par le dynamisme d' attribution. 

Avec DHCP, il suffit d'attribuer une adresse au serveur. Lorsqu'un ordinateur client DHCPdemande l'acces au reseau en 
TCP-IP son adresse est allouee dynamiquement a l'interieur d'une plage d'adresses definie sur le serveur . 

L'administrateur de reseau controle le mode d'attribution des adresses IP en specifiant une duree de bail qui indique combien 
de temps l’hote peut utiliser une configuration IP attribute, avant de devoir solliciter le renouvellement du bail aupres du 
serveur DHCP. 

L'adresse IP est liberee automatiquement, a l'expiration du bail, pour un ordinateur client DHCP retire d'un sous-reseau, 
et une nouvelle adresse est automatiquement definie pour ce dernier, lorsque cet ordinateur est reconnecte a un autre 
sous-reseau. Ni l'utilisateur ni l'administrateur de reseau n'ont besoin de fournir de nouvelles informations relatives a la 
configuration. Cette fonctionnalite est non negligeable, tant pour les utilisateurs de portables fixes ou non a differentes stations 
d'accueil que pour les ordinateurs frequemment deplaces. 

L'inconvenient : 

Le client utilise des trames de broadcast pour rechercher un serveur DHCP sur le reseau, cela charge le reseau. Si vous avez 
une entreprise avec plusieurs centaines de personnes qui ouvrent leur session le matin a 8 h ou l'apres midi a 14 h, il peut s'en 
suivre de graves goulets d'etranglement sur le reseau. L'administrateur devra done reflechir serieusement a l'organisation de son 
reseau. 


23.2.2. Protocole DHCP(Dynamic Host Configuration Protocol) 

Le protocole DHCP ( Dynamic Host Configuration Protocol) (RPC 1533 1534) est une extension de BOOTP (RPC 1532), il 
fournit une configuration dynamique des adresses IP et des informations associees aux ordinateurs configures pour l'utiliser 
(clients DHCP). Ainsi chaque hote du reseau obtient une configuration IP dynamiquement au moment du demarrage, aupres du 
serveur DHCP. Le serveur DHCP lui attribuera notamment une adresse IP, un masque et eventuellement l'adresse d'une 
passerelle par defaut. Il peut attribuer beaucoup d'autres parametres IP notamment en matiere de noms (l'adresse des serveurs 
DNS, l'adresse des serveurs WINS) 


23.3. Fonctionnement de DHCP 

Un client DHCP est un ordinateur qui demande une adresse IP a un serveur DHCP. 

Comment, alors, un client DHCP, qui utilise le protocole TCP/IP mais qui n'a pas encore obtenu d'adresse IP par le serveur, 
peut-il communiquer sur le reseau ? 


23.3.1. Attribution d'une adresse DHCP 

Lorsqu'un client DHCP initialise un acces a un reseau TCP/IP, le processus d'obtention du bail IP se deroule en 4 phases : 

1 - Le client emet un message de demande de bail IP (DHCPDISCOVER) qui est envoye sous forme d'une diffusion sur le 
reseau avec adresse IP source 0.0. 0.0 et adresse IP destination 255.255.255.255 et adresse MAC. 

2 - Les serveurs DHCP repondent en proposant une adresse IP avec une duree de bail et l'adresse IP du serveur DHCP 
(DHCOFFER) 

3 - Le client selectionne la premiere adresse IP (s'il y a plusieurs serveurs DHCP) recue et envoie une demande d'utilisation de 
cette adresse au serveur DHCP (DHCPREQUEST). Son message envoye par diffusion comporte l'identification du serveur 
selectionne qui est informe que son offre a ete retenue ; tous les autres serveurs DHCP retirent leur offre et les adresses 
proposee redeviennent disponibles. 

4 - Le serveur DHCP accuse reception de la demande et accorde l'adresse en bail (DHCPACK), les autres serveurs retirent leur 
proposition. 

Enfin le client utilise Uadresse pour se connecter au reseau. 

Vous trouverez des elements tres precis sur le protocole DHCP dans les pages du manuel de Linux. (dhcp3d, dhcpd . conf et 
dhclient . conf). 
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23.3.2. Renouvellement de bail IP 

Lorsqu'un client redemarre, il tente d'obtenir un bail pour la meme adresse avec le serveur DHCP d'origine, en emettant un 
DHCPREQUEST. Si la tentative se solde par un echec, le client continue a utiliser la meme adresse IP s'il lui reste du temps 
sur son bail. 

Les clients DHCP d'un serveur DHCP Windows (NT/2000) tentent de renouveler leur bail lorsqu'ils ont atteint 50% de sa 
duree par un DHCPREQUEST. Si le serveur DHCP est disponible il envoie un DHCPACK avec la nouvelle duree et 
eventuellement les mises a jour des parametres de configuration. 

Si a 50% le bail n'a pu etre renouvele, le client tente de contacter l'ensemble des serveurs DHCP (diffusion) lorsqu'il atteint 
87,5% de son bail, avec un DHCPREQUEST, les serveurs repondent soit par DHCPACK soit par DHCPNACK (adresse 
inutilisable, etendue desactivee...). 

Lorsque le bail expire ou qu'un message DHCPNACK est recu le client doit cesser d'utiliser l'adresse IP et et demander un 
nouveau bail (retour au processus de souscription). Lorsque le bail expire et que le client n'obtient pas d'autre adresse la 
communication TCP/IP s'interrompt. 

Remarque : Si la demande n'aboutit pas et que le bail n'est pas expire, le client continue a utiliser ses parametres IP. 


23.4. Configuration d'un serveur DHCP 

Definir une plage d'adresses qui peuvent etre louees a des hotes qui en font la demande. 

En general, on donne : 

• Une adresse de debut (la premiere qui sera attribute) 

• Une adresse de fin (la derniere) 

• Une ou plusieurs plages d'adresses a exclure de la location (ceci permet de faire cohabiter un rnodele de configuration 
IP dynamique avec un modele statique) 

• Un masque de sous-reseau 

Tous ces elements sont attribues pour une duree de bail a fixer. Si, au bout de cette duree, l'hote ne sollicite pas a nouveau une 
adresse au serveur, cette adresse est jugee disponible pour un autre hote. 

Il est possible de connaitre les baux actifs (les locations en cours), on voit alors a quelle adresse MAC est attribute une adresse 

IP. 


23.5. Mise en oeuvre d'un client DHCP 

Les clients DHCP doivent etre configures settlement apres la configuration du serveur. Etant donne qu'un ordinateur ne peut 
fonctionner simultanement comme client et serveur DHCP, l'ordinateur fonctionnant comme serveur DHCP doit etre 
configure avec une adresse IP fixe. 

Lors de la configuration du client DHCP, il faut cocher la case « Obtenir une adresse IP depuis un serveur DHCP » dans la 
fenetre des proprietes de Microsoft TCP/IP. Il n'est pas necessaire alors de preciser une adresse IP ou un masque de 
sous-reseau. 

Voici, par exemple, la configuration TCP/IP d'un ordinateur Windows XP qui sollicite une configuration IP aupres d'un serveur 
DHCP : 


Figure 23-1. Client DHCP sous Windows XP 

Les commandes IPCONFIG (Windows NT/200x) et Winipcfg (Windows 9x) permettent de visualiser la configuration IP 
complete du poste de travail : 

Figure 23-2. WinIPCFG sous Windows 9x 


IPCONFIG 

ipconfig /all : affiche les parametres IP complets, cela va nous permettre de verifier la bonne affectation d'adresse. 

ipconfig /renew : declenche l'envoi d'un message DHCPREQUEST vers le serveur DHCP pour obtenir des options de mise a 
jour 

ipconfig /release : declenche l'envoi d'un message DHCPRELEASE pour abandonner le bail. Commande utile lorsque le client 
change de reseau. 


23.3.2. Renouvellement de bail IP 
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23.6. Role de I'agent de relais DHCP 

Comme les clients contactent les serveurs DHCP a l'aide d'une diffusion, dans un inter-reseau, vous devrez theoriquement 
installer un serveur DHCP par sous-reseau. Si votre routeur prend en charge la RFC 1542, il peut faire office d' agent de relais 
DHCP, et ainsi relayer les diffusions de demande d'adresse IP des clients DHCP dans chaque sous-reseau. 

Si votre routeur ne prend pas en charge la RFC 1542, une machine serveur peut etre configuree comme agent de relais DHCP, 
il suffira de lui specifier l'adresse du serveur DHCP. Les demandes des clients DHCP seront relayees vers le serveur DHCP par 
I'agent de relais DHCP qui transmettra les offres aux clients. 


Figure 23-3. Agent de relais DHCP dans un reseau route 


Chapitre 24. Travaux pratiques : installation d'un serveur 
DHCP 

24.1. Indications pour la realisation du TP 

L'atelier propose 

• d'installer un serveur DHCP sous Linux, 

• d'installer un client DHCP sous Linux 

• d'installer un client DHCP sous Windows 

• de realiser une phase de test avec les commandes winipcfg et ipconfig de Windows 
Materiel necessaire : 

Deux machines en dual boot Linux / Windows en reseau. 

Les elements sur l'analyse de trame, notamment les trames bootp, seront retraites lors des TP sur la metrologie. 


24.1.1. Installation du serveur 

Les paquets sont deja installes. 

Attention : vous pouvez avoir sur votre distribution, plusieurs serveurs DHCP, 
dhcpxd est conforme a la RFC 2131. Il fournit un exemple de configuration assez detaille. 

dhcp3, integre l'inscription aupres d'un DNS Dynamique. C'est ce package que nous allons utiliser dans le TP. Par contre si 
vous n'avez pas de DNS dynamique sur le reseau, vous devrez mettre en entete du fichier dhcpd . conf , la ligne : 

ddns-update-style none; 


24.1.2. Configuration du serveur 

La configuration consiste a creer 2 fichiers ; 

• /etc/dhcp3/ dhcpd .conf, ce fichier sert a la configuration meme du serveur (plage d'adresses, parametres 
distribues), 

• /var/lib/dhcp3/ dhcpd . leases, ce fichier va servir a l'inscription des clients. Chaque client DHCP, genere 
l'ecriture d'un enregistrement dans ce fichier. Cela permet le suivi, les statistiques de l'activite du serveur. 


24.1 .2.1 . Le fichier de configuration dhcpd. conf 

On n'abordera pas tous les parametres. Vous trouverez un exemple de fichier commente qui permet de realiser cet atelier. Vous 
pouvez creer ce fichier avec un editeur. 

$>more dhcpd. conf 

# ici il s ' agit du reseau 192.168.0.0 
subnet 192.168.0.0 netmask 255.255.255.0 { 

#La plage d'adresse disponible pour les clients 
range 192.168.0.10 192.168.0.20; 

# Les clients auront cette adresse comme passerelle par defaut 
option routers 192.168.0.254; 

# Ici c'est le serveur de noms, on peut en mettre plusieurs 
option domain-name-servers 192.168.0.1; 
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# Enfin on leur donne le nom du domaine 
option domain-name "freeduc-sup.org"; 

# Et l'adresse utilisee pour la diffusion 
option broadcast-address 192.168.0.255; 

# Le bail a une duree de 86400 s par defaut, soit 24 h 

# On peut configurer les clients pour qu'ils puissent demander 

# une duree de bail specifique 
default-lease-time 86400; 

# On le laisse avec un maximum de 7 jours 
max-lease-time 604800; 

#Ici on desire reserver des adresses a des machines 
group { 

#use-host-decl-names indique que toutes les machines dans 1 ' instruct ion « group » 

# auront comme nom, celui declare dans 1 ' instruction host, 
use-host-decl-names true ; 

# ici definir les machines 
host ml { 

hardware ethernet 00 : 80 : 23 : a8 : a7 : 24 ; 
fixed-address 192.168.0.125; 

} # End ml 

host m2 { 

hardware ethernet aO : 81 : 24 : a8 : e8 : 3b; 
fixed-address 192.168.0.126; 

} # End m2 

} # End Group 
} # End dhcp.conf 


24.1 .2.2. Creation d'un fichier d'inscription 

Ce fichier doit parfois etre cree, sans quoi le serveur DHCP ne pourra pas demarrer. II suffit de creer un fichier vide. Pour cela, 
saisissez la commande touch /var/ lib/dhcp3 /dhcpd . leases. Le fichier est cree. Voici ce qu'il peut contenir apres 
finscription du premier client : 

[root@master /etc]# more /var/lib/dhcp3/dhcpd. leases 
lease 192.168.0.10 { 
starts 1 2002/12/14 18:33:45; 
ends 1 2002/12/14 18:34:22; 
hardware ethernet 00 : 40 : 33 : 2d:b5 : dd; 
uid 01:00:40:33:2d:b5:dd; 
client-hostname "CHA100"; 

} 

On distingue les informations suivantes : Debut du bail. Fin du bail, adresse MAC du client, le nom d'hote du client. Attention 
ce nom est different du nom Netbios utilise sur les reseaux Microsoft. 

24.1.2.3. Activation du serveur 

Le serveur est configure, il n'y a plus qu'a le mettre en route. Utilisez la commande suivante pour arreter ou activer le service : 

/etc/init . d/dhcpd3 start | stop. 

Le script lance le serveur en mode daemon. Vous pouvez le lancer en avant plan avec la commande dhcpd3 -d. Cela permet 
de voir les messages et determiner s'il y a des dysfonctionnement eventuels. 

root@master : /etc/dhcp3# dhcpd3 -d 

Internet Software Consortium DHCP Server V3.0.1rc9 
Copyright 1995-2001 Internet Software Consortium. 

All rights reserved. 

For info, please visit http://www.isc.org/products/DHCP 
Wrote 1 leases to leases file. 

Listening on LPF/eth0/00 : dO : 59 : 82 : 2b : 86/192 . 168 . 0 . 0/24 
Sending on LPF/eth0/00 : dO : 59 : 82 : 2b : 86/192 . 168 . 0 . 0/24 
Sending on Socket /fallback/fallback-net 
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CTRL C pour arreter. 


24.1.3. Installation des clients 

24.1 .3.1 . Le client sous Windows 

L'installation est assez simple si vous avez deja une carte reseau et le protocole TCP/IP installe. Utilisez les commandes 
suivantes: Panneau de configuration/Reseau/Protocole TCP IP/Proprietes/Onglet "adresse ip"/ Cochez Obtenir 
automatiquement une adresse IP 

La configuration est terminee, vous pouvez relancer la machine. Le client interrogera un serveur DHCP pour qu'il lui delivre un 
bail (sorte d’autorisation de sejour sur le reseau) contenant au minimum une adresse Ip et le masque correspondant . 

24.1.3.2. Le client sous Linux 

Vous allez realiser une configuration manuelle 

Allez dans le repertoire /etc/network, ouvrez le fichier interfaces. C'est ici qu'est la configuration des cartes installees sur 
la machine. Remplacez static par dhcp dans la configuration de l'interface ethO. Mettez tous les parametres de cette 
interface (address, netmask, network....) en commentaire. 

La configuration de la carte est terminee, vous pouvez tester en relaxant le service reseau. 

Vous pouvez egalement tester dynamiquement en ligne de commande: 

rootSml:# dhclient ethO 


24.1.4. Procedure de test 

Sur Windows vous allez pouvoir utiliser (selon les versions) les commandes IPCONFIG et Winipcf g. 

Utilisez ipconf ig /? pour voir comment utiliser la commande 

Vous pouvez utiliser l'interface graphique winipcf g sous Windows 9x uniquement. Allez dans Demarrer puis Executer et 
saisissez winipcf g. Une fois la fenetre activee vous pouvez utiliser les fonctions de liberation et de renouvellement de bail. 
Si vous avez plusieurs cartes sur la station, la liste deroulante « Cartes Ethernet Informations » vous permet d'en 
selectionner une. 


24.2. Realisation du TP 

1 . Installez un serveur DHCP minimal sous Linux et verifiez le bon demarrage du service 

2. Installez un client DHCP sous Linux, verifiez le bon demarrage du service reseau et finscription dans le fichier 
dhcp. leases du serveur. Testez le renouvellement du bail. II suffit de relancer le service reseau. 

3. Installez un client DHCP sous Windows, verifiez le bon demarrage du service reseau et finscription dans le fichier 
dhcp . leases du serveur. Testez le renouvellement du bail. 

4. Modifiez l'etendue du serveur. Verifiez le bon fonctionnement de la distribution d'adresses aux clients. 

5. Modifiez la configuration du serveur afin qu'il distribue egalement l'adresse de la passerelle par defaut, l'adresse du 
serveur de nom. Testez la configuration. 

6. Modifiez la configuration du serveur DHCP afin de reserver une adresse au client, verifiez que le processus a bien 
fonctionne. 


Chapitre 25. Travaux pratiques : installation d'un agent relais 
DHCP 

25.1. Routeur et agent relais DHCP (RFC 1542) 

Les trames arp, bootp ne traversent pas les routeurs. Sur un reseau segmente par des routeurs il est done impossible de servir 
tous les segments avec le meme serveur DHCP. II faut done mettre un serveur DHCP sur chaque segment, ou alors utiliser un 
agent de relais DHCP. 

Un agent relais DHCP relaie les messages DHCP echanges entre un client et un serveur DHCP situes sur des sous-reseaux 
differents. 

II est generalement installe sur un routeur pour pouvoir diriger les messages vers le serveur DHCP, mais ce n'est pas 
obligatoire. L’agent doit connaitre l'adresse du serveur DHCP mais ne peut pas etre lui-meme client DHCP. 

Serveur DHCP et agent de relais ont des adresses ip statiques. Le dialogue traverse le routeur et se fait en unicast. 
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Figure 25-1. Dialogue client DHCP, agent de relai DHCPet serveur DHCP 


Apres avoir envoye une trame de broadcast, le client DHCP dialoque avec l'agent de relai DHCP en unicast (1). L'agent 
demande une adresse au serveur DHCP dont il connait l'adresse (2). Le serveur retourne a l'agent une adresse (3) qui est 
donnee au client DHCP par l'agent (4). 

Le principal probleme du service DHCP est la mise a jour des serveurs de noms d'hotes. Bind sous Linux permet la mise a jour 
dynamique (RFC 2136) grace a un serveur "updater" qui peut ajouter ou supprimer dynamiquement des enregistrements de 
ressources. II faut pour corriger cela installer un serveur DNS dynamique ( DDNS) qui accepte les inscriptions des clients 

DHCP. 


25.2. La maquette 

Construisez une maquette en adaptant le schema ci-dessous : 


Figure 25-2. Maquette agent relais DHCP 


Configurez les interfaces reseau de chaque machine, verifiez que le routeur est operationnel et que les paquets traversent bien. 


25.3. Installation 

Les packages : vous avez normalement les paquets sur la distribution Linux (client, serveur et agent de relais) : 

Vous allez devoir installer ces produits pour les configurer et disposer de la documentation de ces produits. 

Description: 

Sous Linux il existe un agent relais DHCP (dhcprelay). Ce produit de l'ISC (Internet Software Consortium) permet de router 
des requetes BOOTP et DHCP provenant de clients d’un reseau sur lequel il n’y a pas de serveur DHCP vers un autre segment 
sur lequel un serveur pourra repondre. 

Mode de fonctionnement : 

L'agent relais DHCP ecoute les requetes et les reponses BOOTP et DHCP. Quand une requete arrive, l’agent route la requete 
vers la liste de serveurs specifiee sur la ligne de commande. Quand une reponse arrive d’un serveur, l’agent transmet la reponse 
(broadcast ou unicast cela depend de la reponse) sur le segment d’ou provenait la requete (broadcast) ou directement vers le 
client (unicast). 

Ligne de commande : 

dhcrelay3 [-p port] [-d] [ — q] [~i ifO [... -i ifN ] ] serverO [ ...serverN ] 

L 1 agent 

- ecoute sur toutes les interfaces a moins que certaines 
soient specifiees avec 1' option -i, 

- utilise, comme le protocole Bootp, le port 67 par defaut 
(voir /etc/services ) modifiable avec 1' option -p, 

- fonctionne en avant-plan avec 1' option -d (option debug), 
sinon en arriere-plan, 

- n'affiche pas les informations de demarrage avec 1' option -q, 

- utilise les serveurs specifies sur la ligne de commande 
serverO, . . . serveurN. 

Vous allez installer le service serveur DHCP. Inspirez vous de l'exemple ci-dessous : 

ddns-update-style none; 
authoritative; 
log-facility local7; 

subnet 172.16.11.0 netmask 255.255.255.0 { 
range 172.16.11.2 172.16.11.253; 
option routers 172.16.11.254; 

#option domain-name-servers 192.168.90.77; 

#option domain-name "pat 107 . org" ; 

option broadcast-address 172.16.11.255; 
default-lease-time 1200; 
max-lease-time 2400; 


} 


subnet 172.16.12.0 netmask 255.255.255.0 { 
range 172.16.12.2 172.16.12.253; 
option routers 172.16.12.254; 
option broadcast-address 172.16.12.255; 
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default-lease-time 1200; 
max-lease-time 2400; 

} 

Vous adapterez le fichier de configuration du serveur afin qu'il puisse delivrer des adresses pour les deux etendues d'adresses. 
Chaque segment representant une etendue. 

Verifiez que le serveur demarre sans erreurs ni warning avec l'option "-d" (debug). Ne le lancez pas en mode daemon. 

roo:~# dhcpd3 -d 

Internet Systems Consortium DHCP Server V3.0.1rcl4 
Copyright 2004 Internet Systems Consortium. 

All rights reserved. 

For info, please visit http://www.isc.org/sw/dhcp/ 

Wrote 0 deleted host decls to leases file. 

Wrote 0 new dynamic host decls to leases file. 

Wrote 1 leases to leases file. 

Listening on LPF/eth0/00 : 08 : c7 : 19 : 25 : 75/172 . 16 . 11 . 0/24 
Sending on LPF/eth0/00 : 08 : c7 : 19 : 25 : 75/172 . 16 . 11 . 0/24 
Sending on Socket /fallback/fallback-net 

Veriftez egalemement que le service est actif et que le port est bien ouvert avec la commande netstat : 

Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name 

udp 64232 0 0.0.0.0:67 0.0. 0.0:* 2093/dhcpd3 

Installer l'agent relais DHCP et activer le service, toujours en mode debug. La commande "dpkg-reconfigure " peut egalement 
vous permettre de configurer l'agent et indiquer a quel serveur l'agent doit passer les requetes. 

Sur la ligne de commande, on indique a quel serveur doit s'adresser l'agent : 

root@PAT109 : ~# dhcrelay3 172.16.11.1 -d 

Internet Systems Consortium DHCP Relay Agent V3.0.1rcl4 
Copyright 2004 Internet Systems Consortium. 

All rights reserved. 

For info, please visit http://www.isc.org/sw/dhcp/ 

Listening on LPF/eth0/00 : 03 : Od: 08 : 63 :bf 
Sending on LPF/eth0/00 : 03 : Od: 08 : 63 :bf 
Sending on Socket /fallback 


regardez, avec la commande netstat sur quel poll par defaut l’agent attend les requetes. 

Demarrez le poste client et regardez le dialogue sur les consoles du serveur et de l’agent. Le client doit obtenir une adresse ip. 
Voici un extrait du dialogue sur l’agent : 

# Transmission de la requete cliente au serveur 
forwarded BOOTREQUEST for 00 : 0a : e4 : 4e : 64 : 4e to 172.16.11.1 

# Transmission de 1* adresse regu du serveur au client 
forwarded BOOTREPLY for 00 : 0a : e4 : 4e : 64 : 4e to 172.16.12.10 

Voici un extrait du dialogue sur le serveur : 


# Le serveur regoit une requete de l'agent 

DHCPREQUEST for 172.16.12.10 from 00 : 0a : e4 : 4e : 64 : 4e via 172.16.12.1 

# II fournit une adresse ip et la valide 

DHCPACK on 172.16.12.10 to 0 0 : 0a : e4 : 4e : 64 : 4e via 172.16.12.1 


Realisez une capture de trame du dialogue agent/serveur sur le routeur. 

Analysez la capture 

Entre le relais DHCP et le serveur DHCP a-t-on utilise des adresses de diffusion MAC ? 

Comment le serveur DHCP sait-il dans quelle plage d'adresse (etendue) il doit puiser l'adresse ? 

Fixez un bail a 1 rnn et etudiez le mecanisme de renouvellement automatique en examinant une capture de 3 minutes. 
Modifiez la configuration du serveur afin de faire de la reservation d'adresse pour le client. Verifiez le fonctionnement. 
Une fois que tout fonctionne, activez tous les services en mode daemon et verifiez le fonctionnement de la maquette. 

Chapitre 26. Installation d'un serveur DNS 
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La resolution de noms - Fiche de cours 

La resolution de noms - Fiche de cours 


Ce document decrit la procedure d'installation et de configuration d'un serveur de noms sous GNU/Linux 


26.1. Description et objectifs de la sequence 

Avant d'installer un service quel qu'il soit, il faut s'assurer du bon fonctionnement de la resolution de noms sur le reseau. Pour 
cela vous avez le choix entre l'utilisation des fichiers hosts ou du service DNS. C'est ce dernier qui sera utilise. Vous devez etre 
familiarise avec l'installation de GNU/Linux. 


26.2. Qu'est ce que le service de resolution de noms de domaine 

Le service de resolution de noms d'hotes DNS (Domain Name Services), permet d'adresser un hote par un nom, plutot que de 
l'adresser par une adresse IP. Quelle est la structure d'un nom d'hote ? 

Nom_d_hote ou bien Nom_d_hote . NomDomaine 

Exemple : nsl ou bien nsl.foo.org 

Le nom de domaine identifie une organisation dans l'internet, comme, par exemple, yahoo.com, wanadoo.fr, eu.org. Dans les 
exemples, nous utiliserons un domaine que Ton considere fictif : « foo.org ». Chaque organisation dispose d'un ou 
plusieurs reseaux. Ces reseaux sont composes de noeuds, ces noeuds (postes, serveurs, routeurs, imprimantes) pouvant etre 
adresses. 

Par exemple, la commande ping nsl . foo . org, permet d'adresser la machine qui porte le nom d'hote nsl, dans le 
domaine (organisation) foo . org. 

Quelle difference entre la resolution de noms d'hotes avec un serveur DNS et les fichiers hosts ? 

Avec les fichiers hosts, chaque machine dispose de sa propre base de donnees de noms. Sur des reseaux importants, cette 
base de donnees dupliquee n'est pas simple a maintenir. 

Avec un service de resolution de noms, la base de donnees est localisee sur un serveur. Un client qui desire adresser un hote 
regarde dans son cache local, s'il en connait l'adresse. S'il ne la connait pas il va interroger le serveur de noms. 

Tous les grands reseaux sous TCP/IP, et internet fonctionnent (schematiquement) sur ce principe. 

Avec un serveur DNS, un administrateur n'a plus qu'une seule base de donnees a maintenir. Il suffit qu'il indique sur chaque 
hote, quelle est l'adresse de ce serveur. Ici il y a 2 cas de figures possibles : 


• soit les hotes (clients) sont des clients DHCP (Dynamic Host Configuration Protocol), cette solution est particuliere et 
n'est pas abordee ici. Cette technique est l'objet d'un autre chapitre. 

• soit les clients disposent d'une adresse IP statique. La configuration des clients est detaillee dans ce document. 

Normalement un service DNS necessite au minimum deux serveurs afin d'assurer un minimum de redondance. Les bases de 
donnees des services sont synchronisees. La configuration d'un serveur de noms secondaire sera expliquee. Nous verrons 
egalement en TP le fonctionnement de la replication des bases de donnees (bases d'enregistrements de ressources). On peut 
parler de bases de donnees reparties et synchronisees. 


26.3. Presentation des concepts 

26.3.1. Notion de domaine, de zone et de delegation 

Un « domaine » est un sous-arbre de l'espace de nommage. Par exemple . com est un domaine, il contient toute la partie 
hierarchique inferieure de l'arbre sous jacente au noeud . com. 

Un domaine peut etre organise en sous domaines. . pirlouit . com est un sous domaine du domaine . com. Un domaine 
peut etre assimile a une partie ou sous-partie de l'organisation de l'espace de nommage. Voir la diapositive sur les Domaines, 
zones et delegations. 


Figure 26-1. Les domaines 


Une "zone" est une organisation logique (ou pour etre plus precis, une organisation administrative) des domaines. Le role d'une 
zone est principalement de simplifier l'administration des domaines. Le domaine ".com" peut etre decoupe en plusieurs zones. 


La resolution de noms - Fiche de cours 
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zl.com, z2.com.. .zn.com. L' administration des zones sera deleguee afin de simplifier la gestion globale du domaine. Voir la 
diapositive sur les zones. 


Figure 26-2. Les zones 


La delegation consiste a deleguer l'administration d'une zone (ou une sous-zone) aux administrateurs de cette zone. Voir la 
diapositive sur la delegation. 


Figure 26-3. La delegation 


Attention a ces quelques remarques : 

• Un domaine est une organisation de l'espace de nommage. II peut etre attache a un domaine parent, et/ou peut avoir un 
ou plusieurs sous-domaines enfants. 

• Les zones correspondent a des organisations administratives des domaines. Un domaine peut etre administre par 
plusieurs zones administratives, mais il est possible aussi qu'une zone serve a l'administration de plusieurs domaines. 
Prenons l’exemple d’un domaine "MonEntreprise.fr", membre de ".fr". II peut etre compose de trois sous-domaines 
France.MonEntreprise.fr, Italie.MonEntreprise.fr, Espagne.MonEntreprise.fr et de deux zones d’administration. Une 
en France pour les sous-domaines France.MonEntreprise.fr, Italie.MonEntreprise.fr (il n’y a pas de delegation), et une 
pour Espagne.MonEntreprise.fr, il y a delegation. 

• L’adressage IP correspond a une organisation physique des noeuds sur un reseau IP. 

• L'organisation de l’espace de nommage est completement independante de l’implantation geographique d’un reseau ou 
de son organisation physique. L'organisation physique est geree par des routes (tables de routage). L'espace de 
nommage indique pour un nom de domaine N, quelles sont les serveurs de noms qui ont autorite sur cette zone. Elies 
ne donnent pas la fagon d’arriver a ces machines. 

• Les settles machines connues au niveau de l’espace de nommage, sont les serveurs de nom "declares". Ces 
informations sont accessibles par des bases de donnees "whois". 

• La coherence (le service de resolution de noms) entre l’organisation de l’espace de nommage global et les 
organisations internes des reseaux sur internet est realisee par les serveurs de noms. 


26.3.2. le domaine in-addr.arpa 

Le principe de la resolution de noms, consiste a affecter un nom d'hote une adresse IP. On parle de resolution de noms directe. 
Le processus inverse doit pouvoir egalement etre mis en oeuvre. On parle de resolution de noms inverse ou reverse. Le 
processus doit fournir, pour une adresse IP, le nom correspond ant. Pour cela il y a une zone particuliere, in-addr.arpa, qui 
permet la resolution inverse d'adresse IP. Voir la diapositive sur la resolution inverse. 


Figure 26-4. La resolution inverse 


Par exemple, pour le reseau 192.68.1.0, on creera une zone inverse dans le domaine in-addr.arpa. La zone de recherche inverse 
dans le domaine deviendra : 1.68. 192. in-addr.arpa. Cette zone devra repondre pour toutes les adresses declarees dans la 
tranche 192.168.1.0 a 192.168.1.254. 

On inscrira dans cette zone tous les noeuds du reseau pour lesquels on desire que la resolution inverse fonctionne. Un serveur 
de noms peut, pratiquement, fonctionner sans la definition de cette zone tant que le reseau n'est pas relie a l’internet. Si cela 
etait le cas, il faudrait declarer cette zone, sans quoi, des services comme la messagerie electronique, ne pourrait fonctionner 
correctement, notamment a causes des regies anti-spam. (Voir www.nic.fr) 


26.3.3. Fichiers, structure et contenus 

Sur linux nous allons utiliser deux types de fichiers : 


• le fichier /etc/bind/named . conf, qui decrit la configuration generate du serveur DNS, 

• les fichiers qui contiennent les enregistrements de ressources pour la zone dans /etc/bind. On cree, en general, un 
fichier pour la resolution directe d’une zone, et un fichier pour la resolution inverse. 

Les enregistrements ont une structure et un role que nous verrons. Le daemon se nomme named, prononcer « naime de ». 
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26.3.4. Principaux types d'enregistrements 

Les types d'enregistrements qui enrichissent une base de donnees DNS sont de plusieurs types, dont voici les principaux : 


• Enregistrement de type SOA ( Start Of Authority) : indique f autorite sur la zone. Ces enregistrements contiennent 
toutes les informations sur le domaine. Par exemple le delai de mise a jour des bases de donnees entre serveurs de 
noms primaires et secondaires, le nom du responsable du site 

• Enregistrements de type NS ( Name Server ) : ces enregistrements donnent les adresses des serveurs de noms pour le 
domaine. 

• Enregistrement de type A ( Adresse ) : ces enregistrements permettent de definir les noeuds fixes du reseau (ceux qui 
ont des adresses IP statiques). Serveurs, routeurs, switchs ... 

• Enregistrements de type MX (Mail eXchanger ) : ils servent pour declarer les serveurs de messagerie. II faudra 
declarer une enregistrement de type MX pour la realisation du TP sur la messagerie. 

• Enregistrements de type CNAME ( Canonical Name ) : ils permettent de definir des alias sur des noeuds existants. Par 
exemple www.foo.org peut etre la meme machine que web.foo.org. Dans ce cas, « www » est un alias (CNAME) 
de « web ». Cela permet de differencier le nommage des machines des standards de nommages des services 
(www, ftp, news, smtp, mail, pop...). 

• Enregistrement de type PTR (Pointeur) : ils permettent la resolution de noms inverse dans le domaine in-addr.arpa. 

Ces enregistrements caracterisent des informations de type IN - INternet. Voir l’annexe pour avoir un fichier exemple. 


26.3.5. Structure des enregistrements 

Structure d'un enregistrement SOA : chaque fichier de ressource de zone commence par un enregistrement de type SOA. Voici 
un exemple d’enregistrement SOA : 


$TTL 38400 

foo.org. IN SOA nsl.foo.o 
20001210011 ; 

10800 ; 

3600 ; 

604800 ; 

86400 ) ; 


rg. hostmaster . f oo . org . 
numero de serie 
raf ralchissement 
nouvel essai 
Obsolescence apres une 
TTL minimal de 1 jour 


( 


semaine 


Caracteristiques des differentes informations : 

SOA Start Of Authority, enregistrement qui contient les informations de synchronisation des differents serveurs de nom. 

foo.org, donne le nom de la zone. Le nom de la zone, ici "foo.org", peut etre remplace par T@", arobase. 

hostmaster.foo.org : la personne qui est responsable de la zone. Le premier point sera remplace par l’arobase (@) pour 
envoyer un courrier electronique. Cela deviendra hostmaster@foo.org. En general postmaster, est un alias de messagerie 
electronique vers fadministrateur du DNS. 


1 . Numero de serie sous la forme AAAAMMJJNN, sert a identifier la derniere modification sur le serveur de noms 
maitre. Ce numero sera utilise par les serveurs de nom secondaires pour synchroniser leurs bases. Si le numero de 
serie du serveur de noms primaire est superieur a celui des serveurs de noms secondaire, alors le processus de 
synchronisation suppose que fadministrateur a apporte une modification sur le serveur maitre et les bases sont 
synchronisees. 

2. Rafraichissement : Intervalle de temps donne en seconde pour indiquer au serveur la periodicite de la synchronisation. 

3. Retry : intervalle de temps avant reiteration si l'essai precedent n’a pas fonctionne. 

4. Expire : temps au bout duquel le serveur ne remplit plus sa mission s’il n’a pu contacter le serveur maitre pour mettre a 
jour ses donnees. 

5. TTL : Time To Live, duree de vie des enregistrements. Plus la duree de vie est courte, plus fadministrateur est 
susceptible de considerer que ses bases sont a jour, par contre cela augmente le trafic sur le reseau. 

Enregistrement de type NS pour le domaine foo.org : 

foo.org. IN NS nsl.foo.org. ; noter le point final " . " 

foo.org. IN NS ns2.foo.org. ; foo.org peut etre remplace par 

; IN signifie enregistrement de type INternet 

Le « . » final signifie que le nom est pleinement qualifie. On aurait pu mettre : 

@ IN NS ns 1 

IN NS ns2 

"@" signifie "foo.org" et pour le serveur de nom, comme "nsl" n’est pas pleinement qualifie, cela equivaut a "nsl.foo.org". 

Enregistrements de type A : nous devons decrire la correspondance Nom / Adresse 

nsl.foo.org. IN A 192.168.0.1 


26.3.4. Principaux types d'enregistrements 
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ns2.foo.org. IN A 192.168.0.2 

localhost.foo.org. IN A 127.0.0.1 

S'il y avait d'autres hotes sur la zone, il faudrait les definir ici. 

Enregistrements de type CNAME : Ce sont les alias (Canonical Name). Une requete du type http://www.foo.org sera adressee a 
nsl.foo.org, puisque www est un alias de nsl. 

www IN CNAME nsl.foo.org. 

ftp IN CNAME nsl.foo.org. 

Enregistrement de type PTR : il serviront a la resolution de noms inverse. 

1 . 0 . 1 68 . 1 92 . 1n-addr . arpa . IN PTR nsl.foo.org. 

2 . 0 . 1 68 . 1 92 . 1n-addr . arpa . IN PTR ns2.foo.org. 


26.3.6. La delegation 

La delegation consiste a donner l'administration d'une partie du domaine a une autre organisation. Il y a transfert de 
responsabilite pour l'administration d'une zone. Les serveurs de la zone auront autorite sur la zone et auront en charge la 
responsabilite de la resolution de noms sur la zone. Les serveurs ayant autorite sur le domaine auront des pointeurs vers les 
serveurs de noms ayant autorite sur chaque zone du domaine. 


26.3.7. Serveur primaire et serveur secondaire 

Le serveur maitre (primaire) dispose d'un fichier d'information sur la zone. Le ou les serveurs esclaves (secondaires) 
obtiennent les informations a partir d'un serveur primaire ou d'un autre serveur esclave. Il y a " transfert de zone". Les serveurs 
maitres et esclaves ont autorite sur la zone. 


26.3.8. Le cache 

L'organisation d'internet est assez hierarchique. Chaque domaine dispose de ses propres serveurs de noms. Les serveurs 
peuvent etre sur le reseau physique dont ils assurent la resolution de nom ou sur un autre reseau. Chaque zone de niveau 
superieur (edu, org, fr...) dispose egalement de serveurs de nom de niveau superieur. L'installation du service DNS, installe une 
liste de serveurs de noms de niveaux superieurs. Cette liste permet au serveur de resoudre les noms qui sont exterieurs a sa 
zone. Le serveur enrichit son cache avec tous les noms resolus. Si votre reseau reseau n'est pas relie a internet, vous n’avez pas 
besoin d’activer cette liste. 

Ce fichier est un peu particulier. Il est fournit avec les distributions. Il est utilise par le serveur de noms a l’initialisation de sa 
memoire cache. Si vos serveurs sont raccordes a internet, vous pourrez utiliser une liste officielle des serveurs de la racine 
(ftp . rs . internic .net) . 


26.4. Installation et configuration d'un serveur DNS 

Processus de configuration 

L'application est deja installee. Pour mettre en place le service de resolution de noms sur un serveur GNU/Linux, on va 
proceder successivement aux operations suivantes : 


1. verifier les fichiers deja installes, 

2. configurer les fichiers des zones administrees, 

3. configurer les fichiers de transaction securisee pour rndc, 

4. demarrer et tester le service serveur. 


26.4.1. Fichiers deja installes 

Vous devez normalement avoir deja les fichiers suivants : 

1. /etc/bind/named, conf, fichier de declaration des fichiers de ressources 

2. /etc/bind/db . 127, zone locale reverse 

3. /etc/bind/db . 0, zone locale de broadcast 

4. /etc/bind/db . 255, zone locale de broadcast 

5. db . local, zone directe locale 

6. db . root, fichiers des serveurs racine 

Le contenu de tous ces fichiers et commentaires se trouve en annexe. 

Vous avez egalement des fichiers particuliers : rndc . key, rndc . conf. rndc, est un outil qui permet de passer des 
commandes a distance a un serveur de nom. Nous porterons une attention toute particuliere a ces fichiers, a leur roles et a 
l'utilite de rndc. 


102 


26.3.6. La delegation 








Tutoriel sur les serveurs 


II va suffire de rajouter les fichiers manquants a la zone administree. 


26.4.2. rndc, le fichier de configuration, le fichier de cle 

rndc est un outil qui permet de realiser des transactions securisees avec un serveur de nom. Le mode de fonctionnement est dit 
a "cle partagee", c'est a dire que le client rndc et le serveur bind doivent avoir la meme cle. Vous devrez done configurer le 
fichier de configuration de rndc et le fichier named. conf avec les memes parametres. 

Ces fichiers et exemples sont egalement fournis en annexe. La cle doit etre strictement identique dans les 2 fichiers. Si vous 
avez un message d’erreur a l’utilisation de rndc, verifiez bien ces parametres. 

rndc supporte plusieurs parametres pour passer des commandes au serveur de nom (halt, querylog, refresh, reload, stat...). 
Utilisez la commande "man rndc" pour en savoir plus. 

Dans le fichier rndc, vous allez avoir besoin d’au moins 3 parametres. rndc utilisera ces parametres si rien n’est specific sur la 
ligne de commande. Dans les autres cas, vous pouvez passer les parametres sur la ligne de commande. 

Note : vous pouvez vous passer du systeme de cle mais ce n’est pas conseille. Commentez tout ce qu'il y a dans le fichier 
named. conf et qui concerne la cle s’il y a deja des choses. Renommez le fichier rndc.conf en rndc.conf.orig, ga devrait 
fonctionner. Vous pouvez tester cela en faisant un /etc/init . d/bind restart. Vous ne devriez pas avoir de message 
d’erreur. 


#Description du serveur et de la cle utilises par defaut. 

#Ici on utilise par defaut le serveur local, avec la cle key-name 
options { 

default-server localhost; 
default-key "<key-name>" ; 

}; 


II est possible de dire quelle cle utiliser en fonction d’un serveur donne. 

server localhost { 
key "<key-name>"; 

} ; 


Enfin il reste a definir la ou les cles avec leur noms et leurs valeurs. 

key "<key-name>" { 
algorithm hmac-md5; 
secret "<key-value>"; 

}; 


Pour creer une nouvelle cle, utilisez la commande : 

dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-f ile-name> 

#Ici on genere une cle de 512 bits dans un fichier maCLE 
dnssec-keygen -a hmac-md5 -b 512 -n HOST maCLE 

Le fichier named . conf doit connaitre la cle utilisee par le client, 

// secret must be the same as in /etc/rndc . conf 
key "key" { 

algorithm hmac-md5; 

secret 

"c3Ryb25nIGVub3VnaCBmb3IgYSBt YW4gYnV0IGlhZGUgZm9yIGEgd2 9tYW4K" ; 

} ; 


mais doit egalement comprendre les parametres qui definissent les machines clientes autorisees a passer des commandes avec 
une directive controls. 

controls { 

inet 127.0.0.1 allow { localhost; } keys { <key-name>; }; 

} ; 


# Ici on peut passer des commandes a partir de n'importe quelle machine 
controls { 

inet 127.0.0.1 allow { any; } keys { "key"; }; 

} ; 


# Ici on peut passer des commandes localement 
controls { 

inet 127.0.0.1 allow { localhost; } keys { "key"; }; 

} ; 


26.4.2. rndc, le fichier de configuration, le fichier de cle 
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26.4.3. Procedure de configuration du serveur 

L'installation a copie les fichiers. Sur une configuration simple vous allez avoir 3 fichiers a creer ou a modifier sur le serveur 
primaire : 


• /etc/bind/named . conf (fichier de configuration globale du service DNS du serveur de noms primaire), 

• /etc/bind/db . f oo . org qui contiendra la description de la correspondance nom-adresse de toutes les machines 
du reseau 

• /etc/bind/db . f oo . org . rev qui contiendra la correspondance inverse adresse-nom (pour la resolution inverse 
de nom in-addr.arpa). 


26.4.4. Configurer les fichiers 

Vous pouvez configurer le serveur manuellement, c'est a dire creer les fichiers a l’aide dim editeur de texte ou a l'aide dim 
outil de configuration graphique. En general on n’installe jamais d’interface graphique sur un serveur pour des questions de 
securite. Nous allons done creer les fichiers completement. La configuration est realisable egalement a distance avec des 
requetes HTTP grace a des outils comme webmin. 


26.4.5. Configuration du DNS manuellement 

Le fichier racine pour la configuration du serveur de noms est le fichier / etc/bind/ named . conf. Ce fichier est lu au 
demarrage du service et donne la liste des fichiers qui definissent la base de donnees pour la zone. 


26.4.6. Le fichier named, conf 

Voir annexe. 


26.4.7. Le fichier db.foo.org 

Voir annexe. 

Le parametre @, signifie qu’il s'agit du domaine "foo.org" (le nom tape apres le mot " zone " dans le fichier de configuration 
named. conf). Le parametre "IN", signifie qu'il s'agit d’un enregistrement de type internet. Notez la presence d’un point (.) apres 
le nom des machines pleinement qualifies. Sans celui-ci, le nom serait " etendu ". Par exemple, nsl.foo.org (sans point) serait 
compris comme nsl.foo.org.foo.org (on rajoute le nom de domaine en l’absence du point terminal). Le point (.) terminal permet 
de signifier que le nom est pleinement qualifie. 


26.4.8. Le fichier db.foo.org. rev 

Voir annexe. 


26.5. Complements pratiques 

26.5.1. Demarrer ou arreter le service le service 

Le service (daemon) qui active la resolution de noms s'appelle named prononcer « naime de », mais le script s'appelle 
bind, ou sur certaines distributions bind9. Je noterai ici bind. 

Si vous voulez l'arreter ou le redemarrer dynamiquement vous pouvez utiliser les commandes suivantes : 

# La commande stop utilise souvent rndc . 

# rndc doit done etre prealablement configure. 

/etc/init . d/bind stop 

/etc/init . d/bind start 

Relancer le service serveur de cette fagon peut parfois poser probleme. En effet cette procedure regenere le cache du serveur. 
Le service prend egalement un nouveau PID. Si vous voulez eviter cela, ce qui est generalement le cas, preferez la commande 
kill -HUP PID de Named. Vous trouverez le PID de named dans /var/run. 


26.5.2. Finaliser la configuration 

Les fichiers de configuration sont crees. II ne reste plus qu'a tester. II faut au prealable configurer le serveur pour que tous les 
processus clients utilisent le service de resolution de nom. II vous faut modifier le fichier /etc/resolv . conf : 

# nameserver AdresselpDuServeurDeNom 

# Exemple 

nameserver 192.168.0.1 

Vous pouvez egalement configurer d'autres clients pour qu'ils utilisent votre serveur de nom. 
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26.5.3. Procedure de configuration des clients 

La description de la configuration de tous les clients possibles n'est pas detaillee. Vous trouverez ci-dessous des elements 
pour un client windows 9x et pour un client GNU/Linux. 


26.5.4. Avec windows 

11 s'agit d'un client windows. Chaque client dispose du protocole TCP/IP, d'une adresse IP. II faut configurer le client pour lui 
signifier quel est le serveur de noms qu'il doit consulter. Pour cela il faut aller dans : panneau de configuration - reseau - tcp/ip 
- Onglet « Configuration DNS ». Vous allez pouvoir definir les parametres suivants : 


• le nom d'hote de la machine locale dans le reseau 

• le nom de domaine auquel appartient l'hote (dans cet exemple c'est foo.org) 

Ces 2 parametres sont facultatifs dans l’atelier qui nous interesse. Par contre le parametre « Ordre de recherche DNS » est 
important. Mettez dessous : 

• L’adresse IP du serveur de noms que vous avez configure, 

• Cliquez sur aj outer 

• Entrez fadresse IP du serveur de noms 

• Validez puis relancer la machine 

Ce parametre, definit a la machine locale, fadresse de l'hote de destination qui est charge de la resolution des noms d'hotes 
dans le reseau. Cela permet de dire qu'un serveur de noms doit avoir une adresse IP statique sur le reseau. 


26.5.5. Avec GNU/Linux 

Vous pouvez modifier (en tant que root) le fichier de configuration du « resolver » (/etc/resolv . conf). Exemple ( 5 a 
tient en deux lignes) : 

# Fichier /etc/resolv . conf 
search foo.org 

nameserver 192.168.1.1 # mettre votre DNS 


26.6. Procedure de tests 

Attention aux fichier hosts et au fichier host . conf. Prenez le temps de regarder ce qu'il y a dedans. Faites une copie de 
sauvegarde de ces fichiers et renommez les. Verifiez au besoin leur utilite avec les commandes man host . conf et man 
hosts. 

Vous pouvez tester votre configuration avant meme d'avoir configure un client. Sur la meme machine vous allez utiliser un 
service client du serveur (commande ping) qui utilisera un service serveur (DNS). 

Test sur le serveur de noms : Tapez la commande ping ftp . foo . org. Si la commande repond, le serveur fonctionne. En 
effet ftp est un alias de nsl dans la zone foo.org. 

Test sur le client : Avant de lancer une commande, vous devez verifier que vous n'avez pas de fichier hosts local, sinon vous 
devez le supprimer. 

Pourquoi ? L'utilisation de fichiers hosts et d'un serveur de noms n'est pas exclusif. Dans bien des environnements, le fichier 
hosts est consulte avant le serveur de noms (notamment windows, GNU/Linux a moins que ce ne soit precise). Si vous avez 
un fichier hosts sur la machine, vous pouvez avoir des resultats qui ne sont pas ceux attendus. 


26.6.1. Verifier la resolution de noms : 

Pensez a bien verifier le nom d'hote de votre machine avec la commande hostname, au besoin, sous root, modifiez ce nom, 
toujours avec cette commande. Fermez les sessions et rouvrez les, vous aurez le bon nom d'hote qui s'affichera sur votre 
console. 

Mettons que le reseau soit configure de la fa£on suivante : 

Nom d'hote Alias (CNAME) Adresse IP Serveur 

nsl www 

ftp 
mail 

nsl 192.68.1.1 

Client 1 Clil 192.68.1.2 

Pour verifier le fonctionnement de la resolution de noms a partir du client clil, vous pouvez utiliser les commandes 
suivantes : 


- ping nsl 

26.5.3. Procedure de configuration des clients 
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- ping clil 


Vous pouvez egalement tester la resolution des alias (CNAME) avec les commandes : 


ping 

mail . f oo . org 

ping 

www . f oo . org 

ping 

ftp . foo . org 

ping 

nsl . foo . org 


C'est bien la meme adresse IP (voir le cache aip) qui repond, la machine a done bien plusieurs noms. 

Si vous voulez verifier que c'est bien le serveur de noms qui realise la resolution, il existe plusieurs solutions. La plus simple 
est d’arreter le service serveur avec la commande /etc/init . d/bind stop, puis de refaire les manipulations. Aucune 
machine n’est atteignable en utilisant son nom, mais cela est toujours possible en utilisant l’adresse IP. 


26.7. Depannage et outils 

Les sources de dysfonctionnement des services de nom peuvent etre nombreuses et parfois complexes a resoudre. Voici 
quelques outils et methodes qui peuvent etre utilisees. 


26.7.1. Les erreurs de chargement de bind 

Si vous avez une erreur similaire a celle-ci : 


Probleme de cles entre named et rndc 
root@knoppix : /etc/bind# /etc/init . d/bind9 stop 

Stopping domain name service: namedrndc : connection to remote host closed 
This may indicate that the remote server is using an older version of 
the command protocol, this host is not authorized to connect, 
or the key is invalid. 


Le probleme est lie a rndc, et souvent a des cles qui sont differentes ou mal definies entre named . conf et rndc . conf . 
Veriftez done bien tous les parametres. 

Veriftez dans les journaux (en general /var/log/daemon) qu’il n’y a pas d’erreur de chargement de named. Voici un 
exemple de log. 


# Log apres chargement des zones 

Apr 8 23:12:46 knoppix named[1066]: starting BIND 9.2.1 
Apr 8 23:12:46 knoppix named[1066]: using 1 CPU 
Apr 8 23:12:46 knoppix [] 


named [10 68] : 
named [10 68] : 
named [10 68] : 
named [10 68] : 
named [10 68] : 
named [10 68] : 
named [10 68] : 
named [10 68] : 
named [10 68] : 
named [10 68] : 
Apr 8 23:12 


loading configuration from ' /etc/bind/named . conf ' 
no IPv6 interfaces found 

listening on IPv4 interface lo, 127.0.0.1#53 

listening on IPv4 interface ethO, 192 . 168 . 90 . 100#53 

command channel listening on 127 . 0 . 0 . 1#953 

zone 0 . in-addr . arpa/IN : loaded serial 1 

zone 127 . in-addr . arpa/IN : loaded serial 1 

zone 255 . in-addr . arpa/IN : loaded serial 1 

zone localhost /IN : loaded serial 1 

zone foo.org/IN: loaded serial 2003040101 

46 knoppix named[1068]: running 


Ou encore avec la commande ps : 


root : 
root 

: # ps , 
1066 

aux | 
0.0 

grep 
1 . 6 

named 

10312 

2136 

? 

s 

23:12 

0:00 

/us r/sbin/ named 

root 

1067 

0.0 

1.6 

10312 

2136 

? 

s 

23:12 

0:00 

/us r/sbin/ named 

root 

1068 

0.0 

1 . 6 

10312 

2136 

9 

s 

23:12 

0:00 

/us r/sbin/ named 

root 

1069 

0.0 

1 . 6 

10312 

2136 

? 

s 

23:12 

0:00 

/us r/sbin/ named 

root 

1070 

0.0 

1.6 

10312 

2136 

? 

s 

23:12 

0:00 

/us r/sbin /named 


Vous pouvez egalement faire des tests successifs pour tester la resolution de nom. 

#Verif ication avec des ping 
root@nsl:~# ping -cl nsl.foo.org 

PING nsl.foo.org (192.168.90.100): 56 data bytes 

64 bytes from 192.168.90.100: icmp_seq=0 ttl=64 time=0.1 ms 

nsl.foo.org ping statistics 

1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 0.1/0. 1/0.1 ms 


root@nsl:~# ping -cl www.foo.org 

PING nsl.foo.org (192.168.90.100): 56 data bytes 

64 bytes from 192.168.90.100: icmp_seq=0 ttl=64 time=0.1 ms 

nsl.foo.org ping statistics 

1 packets transmitted, 1 packets received, 0% packet loss 
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round-trip min/avg/max = 0.1/0. 1/0.1 ms 


26.7.2. nslookup, dig 

La commande nslookup est de moins en moins utilisee, nous la verrons done pas. Nous allons voir l'utilisation de dig. 

Ces commandes sont tres largement utilisees par les administrateurs de reseau pour resoudre les problemes lies aux services de 
resolution de nom. 


Tests avec dig : 


# Test sur une zone 

root@knoppix : /etc/bind# dig any foo.org 
; <<>> DiG 9.2.1 <<>> any foo.org 
;; global options: printemd 
;; Got answer: 

;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 32752 

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 

;; QUESTION SECTION: 

; foo.org. IN ANY 

;; ANSWER SECTION: 


foo . org . 
foo . org . 


604800 IN 

root . nsl . foo . org . 2003040102 
604800 IN 


SOA nsl.foo.org. \ 

604800 86400 2419200 604800 
NS nsl . foo . org . 


;; ADDITIONAL SECTION: 

nsl.foo.org. 604800 IN A 192.168.90.100 


;; Query time: 7 msec 

;; SERVER: 1 92 . 1 68 . 90 . 1 0 0#53 ( 1 92 . 1 68 . 90 . 100 ) 
;; WHEN: Tue Apr 8 23:30:05 2003 
; ; MSG SIZE revd: 100 


# Recuperation de 1 ' enregistrement SOA d'une zone 

root@knoppix : /etc/bind# dig soa foo.org 

; <<>> DiG 9.2.1 <<>> soa foo.org 
;; global options: printemd 
;; Got answer: 

;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 15982 

;; flags: qr aa rd ra; QUERY : 1 , ANSWER: 1, AUTHORITY : 1 , ADDITIONAL : 1 

;; QUESTION SECTION: 

; foo.org. IN SOA 

;; ANSWER SECTION: 

foo.org. 604800 IN SOA nsl.foo.org. \ 

root.nsl.foo.org. 2003040102 604800 86400 2419200 604800 

;; AUTHORITY SECTION: 


foo . org . 

604800 

IN 

NS 

nsl . foo . org . 

;; ADDITIONAL SECTION: 
nsl . foo . org . 

604800 

IN 

A 

192.168.90.100 


;; Query time: 2 msec 

;; SERVER: 1 92 . 1 68 . 90 . 1 0 0#53 ( 1 92 . 1 68 . 90 . 100 ) 
;; WHEN: Tue Apr 8 23:30:43 2003 
; ; MSG SIZE revd: 100 


#Verif ication de la resolution de nom sur www.foo.org 
root@knoppix : /etc/bind# dig www.foo.org 


; <<>> DiG 9.2.1 <<>> www.foo.org 
;; global options: printemd 
;; Got answer: 

;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 52961 

;; flags: qr aa rd ra; QUERY : 1 , ANSWER:2, AUTHORITY : 1 , ADDITIONAL : 0 

;; QUESTION SECTION: 

; www . f oo . org . IN A 


;; ANSWER SECTION: 

www.foo.org. 604800 IN 

nsl.foo.org. 604800 IN 


CNAME nsl.foo.org. 

A 192.168.90.100 


26.7.2. nslookup, dig 


107 




Tutoriel sur les serveurs 


;; AUTHORITY SECTION: 

foo.org. 604800 IN NS 

;; Query time: 3 msec 

;; SERVER: 1 92 . 1 68 . 90 . 1 0 0#53 ( 1 92 . 1 68 . 90 . 100 ) 
;; WHEN: Tue Apr 8 23:31:49 2003 
;; MSG SIZE rcvd: 77 


nsl . foo . org . 


# Verification de la resolution de nom inverse. 

root@nsl : /etc/bind# dig ptr 100 . 90 . 168 . 192 . in-addr . arpa 
; <<>> DiG 9.2.1 <<>> ptr 1 0 0 . 90 . 1 68 . 1 92 . in-addr . arpa 
;; global options: printcmd 
;; Got answer: 

;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 30642 

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY : 1 , ADDITIONAL : 0 

;; QUESTION SECTION: 

; 100 . 90 . 168 . 192 . in-addr .arpa. IN PTR 

; ; ANSWER SECTION: 

100 . 90 . 168 . 192 . in-addr . arpa . \ 

604800 IN PTR ns 1 . 90 . 1 68 . 1 92 . in-addr . arpa . 

;; AUTHORITY SECTION: 

90 . 168 . 192 . in-addr . arpa . \ 

604800 IN NS ns 1 . 90 . 1 68 . 1 92 . in-addr . arpa . 

; ; Query time: 7 msec 

;; SERVER: 1 92 . 1 68 . 90 . 1 0 0#53 ( 1 92 . 1 68 . 90 . 100 ) 

;; WHEN: Tue Apr 8 23:45:39 2003 
;; MSG SIZE rcvd: 77 


26.7.3. Le cache du DNS 

Le cache permet egalement de detecter certaines causes d'erreur. Le probleme est qu'il est en memoire. Pour le recuperer sous 
la forme d'un fichier utilisez la commande kill -INT PID de named. Vous recuperez uu fichier 

/var/named/named_dump . db que vous pouvez exploiter. 


26.7.4. Les journaux 

Si vous etes en phase de configuration, pensez (ce doit etre un reflexe) a consulter les fichiers de journalisation, notamment 
/var/log/messages. Cette operation permet dans bien des cas de corriger des erreurs qui se trouvent dans les fichiers de 
configuration. Voici comment proceder : 


• Arret du serveur 

• Nettoyage du fichier > /var/log/messages 

• Demarrage du serveur 

• Consultation des logs : cat /var/ log /daemon . log / more 

Pour les fichiers logs, utilisez, si le fichier est trop gros la commande tail : 

# tail -N NomFichier 

# Affiche les N dernieres lignes d'un fichier 

# Par exemple, affiche les 250 dernieres lignes d'un fichiers 

# tail -n 250 /var/log/daemon . log | more 


26.8. Remarques 

Si vous desirez mettre en place la resolution de noms sur un reseau local, il n'y a pas grand chose de plus a realiser. II faut 
rajouter les enregistrements de type MX pom la messagerie, cette operation sera realisee pendant la configuration du service de 
messagerie. II faut egalement mettre en place un service de synchronisation des bases de donnees avec un serveur secondaire 
pour assurer le service d'un serveur de noms de backup. 

Si vous desirez vous relier sur internet, le processus est plus complexe. II faudra approfondir la description des 
enregistrements et la structure des fichiers. 

Par convention, on considere que chaque domaine dispose d'au moins 1 serveur de noms primaire et un serveur de noms 
secondaire afin d'assurer une redondance en cas de panne d’un serveur. Les clients reseau seront configures pour utiliser 
indifferemment le serveur de noms primaire ou les serveurs de nom secondaires. II en resulte une duplication de la base de 
donnees du DNS primaire sur les serveurs secondaires. La base de donnees est rafraichie en fonction des parametres de 
l’enregistrement SOA. Ce precede met en oeuvre un principe de base de donnees repartie. Vous trouverez quelques elements 
dans les annexes qui suivent. 
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26.9. Annexes 

26.9.1. Annexe 1 - extraits de fichiers de configuration 

Les extraits ci-dessous d'une zone fictive foo.org peuvent servir d'exemple pour batir une zone. 
Si on respecte les conventions utilisees sur internet, voici ce que Ton devrait avoir : 


• le serveur ftp est accessible par l'adresse ftp . f oo . org 

• le serveur http par l'adresse www . f oo . org 

• le serveur de noms primaire par nsl.foo.org 

• le serveur de messagerie mail . f oo . org 

• le serveur de news news . f oo . org, etc. 

ftp, www, mail sont des alias ( canonical name ou CNAME) de la machine nsl dans le domaine f oo . org 

Nous aurons done sur le serveur de noms 5 enregistrements dans la zone f oo . org qui concernent la machine 

nsl . foo . org : un enregistrement de type A pour declarer nsl quatre enregistrements de type CNAME pour la machine 

nsl. 

Nous aurons egalement, dans la zone reverse in-addr.arpa, 1 enregistrement de type pointeurs (PTR) pour chaque 
enregistrement de type A dans la zone directe. Enfin, pour le serveur de messagerie, il faut egalement un enregistrement de 
type MX. 

Tous les fichiers concemant la zone locale, et un fichier named . conf sont deja installes sur votre machine. 

; db. local 

; Resolution directe pour la zone locale 
; BIND data file for local loopback interface 

$TTL 604800 

@ IN SOA localhost 

1 

604800 
86400 
2419200 
604800 ) 

@ IN NS localhost. 

@ IN A 127.0.0.1 


; db .127 

; Resolution inverse pour l'adresse de loopback 
; BIND reverse data file for local loopback interface 

$TTL 604800 

@ IN SOA localhost 

1 

604800 
86400 
2419200 
604800 ) 

@ IN NS localhost. 

1.0.0 IN PTR localhost. 


; db . 0 

; Resolution inverse pour la zone de broadcast 
; BIND reverse data file for broadcast zone 

$TTL 604800 

@ IN SOA localhost 

1 

604800 
86400 
2419200 
604800 ) 

@ IN NS localhost. 


; db.255 

; Resolution inverse pour la zone de broadcast; 
; BIND reverse data file for broadcast zone 


. root . localhost . ( 

; Serial 
; Refresh 
; Retry 
; Expire 

; Negative Cache TTL 


. root . localhost . ( 

; Serial 
; Refresh 
; Retry 
; Expire 

; Negative Cache TTL 


. root . localhost . ( 

; Serial 
; Refresh 
; Retry 
; Expire 

; Negative Cache TTL 
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$TTL 604800 

@ IN SOA 


localhost . 
1 

604800 
86400 
2419200 
604800 ) 


root . localhost . ( 

; Serial 
; Refresh 
; Retry 
; Expire 

; Negative Cache TTL 


IN NS 


localhost . 


; db . root 

; fichier des serveurs de noms de 1 ' internet 
; vous pouvez le consulter sur votre disque. 


; db.foo.org 

; fichier directe pour la zone foo.org 


; BIND 

data file for 

local loopback interface 

$TTL 

604800 




@ 

IN 

SOA 

nsl root.nsl ( 





2003040102 

; Serial 




604800 

; Refresh 




86400 

; Retry 




2419200 

; Expire 




604800 ) 

; Negative Cache TTL 

0 

IN 

NS 

nsl 


nsl 

IN 

A 

192.168.90.100 

; @ ip du serveur de nom 

WWW 

IN 

CNAME 

nsl 


ftp 

IN 

CNAME 

nsl 



; db . f oo . org . rev 

; fichier de resolution inverse pour la zone foo 
; BIND data file for local loopback interface 


$TTL 

604800 




e 

IN 

SOA 

nsl root.nsl ( 





2003040102 

Serial 




604800 

Refresh 




86400 

Retry 




2419200 

Expire 




604800 ) 

Negative Cache TTL 

@ 

IN 

NS 

nsl 


100 

IN 

PTR 

nsl 


; fichier named 

conf 

du serveur primaire 



// C'est le fichier principal de configuration des DNS 

// C'est ici que sont realisees, , pour chaque zone, les declarations 

// des fichiers de ressources. 

options { 

directory " /var/cache/bind" ; 

// Serveurs a prevenir pour les transferts de zone 
forwarders { 0 . 0 . 0 . 0 ; } ; 

} ; 


// Ici les parametres pour les cles rndc 

// Les parametres doivent etre strictement identiques a celui 
// du fichier rndc . key ou rndc.conf 

// Si vous avez des messages d'erreur a 1 ' utilisation 
// de cette commande, verifier le contenu des fichiers. 


key " rndc-key" { 
algorithm hmac-md5; 

secret n c3Ryb25nIGVub3VnaCBmb3lgYSBtYW4gYnV0lGlhZGUgZm9yIGEgd29tYW4K" ; 

} ; 


# Autoriations rndc sur la machine, 
controls { 

inet 127.0.0.1 allow {localhost;} keys {"rndc-key";}; 

} ; 


// Indication pour les serveurs racines 
zone " . " { 

type hint; 
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} ; 


file " /etc/bind/db . root " ; 


// be authoritative for the localhost forward 
// and reverse zones, and for 
// broadcast zones as per RFC 1912 
zone "localhost" { 

type master; 

file " /etc/bind/db . local" ; 

} ; 

zone " 127 . in-addr . arpa" { 
type master; 

file " /etc/bind/db . 127 " ; 

}; 

zone " 0 . in-addr . arpa" { 
type master; 
file " /etc/bind/db . 0 " ; 

}; 

zone " 255 . in-addr . arpa " { 
type master; 

file " /etc/bind/db . 255" ; 

}; 


//zone directe de foo 
zone "foo.org" { 

type master; 

file " /etc/bind/db . foo . org" ; 

} ; 


//Zone reverse pour 192.168.90. 
zone " 90 . 168 . 192 . in-addr . arpa" { 
type master; 

file " /etc/bind/db . foo . org . rev" ; 

}; 


; fichier name.conf du serveur secondaire 
; L'entete de bouge pas 

; Tout ce qui concerne localhost non plus car chaque DNS 
; est primaire pour les zones locales 

; on ajoute la declarations des autres zones, le fichier 
; de stockage et l'adresse IP du serveur primaire pour 
; pouvoir realiser les transferts de zone. 

; Declaration de la zone foo.org 

zone "foo.org" { 

type slave; 

file " /etc/bind/db . foo . org" ; 
masters {192.168.90.1;}; 

}; 

zone " 90 . 168 . 192 . in-addr . arpa" { 
type slave; 

file "/etc/bind/db. foo. org. rev" ; 
masters {192.168.90.1;}; 

}; 


; fichier rndc.conf 

/* $Id: cours-dns . xml, v 1.9 2004/11/07 14:20:07 jmj Exp $ */ 

/* 

* Exemple de fichier de rndc.conf, pris pour les TP 
*/ 

options { 

default-server localhost; 
default-key "rndc-key"; 

}; 

server localhost { 

key "rndc-key"; 

}; 

key "rndc-key" { 
algorithm hmac-md5; 

secret "c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IGlhZGUgZm9yIGEgd29tYW4K" ; 

} ; 
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; fichier rndc . key 

key "rndc-key" { 

algorithm hmac-md5; 

secret " 4 9khYQyHf04AqY09K7by 6Q==" ; 

} ; 


26.9.2. Annexe 2 - Serveur primaire et serveur secondaire 

Pour configurer le serveur secondaire, vous n'avez pas grand chose a faire. Copiez le fichier named . conf du primaire sur le 
secondaire. Voyez l'exemple ci-dessus. Le dns secondaire telechargera (processus de transfert de zone) les fichiers de 
ressources du dns primaire. Attention, le dns secondaire pour une zone est toujours dns primaire pour la zone locale 

localhost. 

On remplace la definition masters par slave sauf pour la zone locale et les fichiers db . local et db . 127 qui sont lus 
localement. Ensuite vous avez rajoute l'adresse du serveur a partir duquel le transfert de zone doit s'effectuer. 

Activer les serveurs de noms et analyser les traces (log) sur les 2 serveurs. Corrigez toutes les erreurs jusqu'a ce que cela 
fonctionne. Vous devriez obtenir la trace selon laquelle il y a eu un transfert de zone entre le serveur maitre et le serveur 
esclave. Exemple : 

Apr 6 plibre named [8821] : send AXFR query 0 to 195.115.88.38 

Experience 1 /Vous pouvez experimenter un echange entre un serveur de noms primaire et un serveur esclave. Modifiez sur le 
serveur primaire le N° de serie comme si vous aviez modifie les fichiers de ressources de nsl et relancez le service. Verifiez le 
transfert de zone a mis a jour la base de donnees repartie. 

Experience 2 : Vous pouvez experimenter une autre procedure d'echange, mais cette fois sans relancer le serveur de noms 
secondaire. Modifiez d'abord sur les deux serveurs le delai de rafraichissement et mettez le a 2 ou 3 minute. Relancez les 
services. Modifiez sur le serveur primaire le N° de serie dans l’enregistrement SOA, comme si vous aviez modifie les fichiers 
de ressources de nsl et relancez le service. Si vous attendez, vous verrez la synchronisation s’operer (trace dans les fichiers de 
logs). Vous decouvrez ainsi le mode de fonctionnement de synchronisation des serveurs de noms sur internet. 

Remarque : si vous voulez, sur ces serveurs assurer la gestion de plusieurs domaines, il suffit de rajouter les definitions de 
ressources pour ces domaines, puis de declarer ces zones dans /etc/ named . conf. 

Notez egalement que la notion d’autorite est differente de la notion de serveur maitre ou serveur esclave. En effet si vous avez 
en charge la gestion de deux zones (Z 1 et Z2), vous pouvez mettre deux serveurs ayant autorite sur ces zones (nsl et ns2), par 
contre nsl peut etre serveur maitre pour Z1 et secondaire pour Z2, et ns2 peut etre serveur maitre pour Z2 et esclave pour Zl. 


26.9.3. Annexe 3 - Mise en place d'une delegation de zone 

Prenons l'exemple d'une zone sd d'adresse 192.168.254.0, rattachee a foo . org. Nous allons mettre en place une delegation 
de zone pour sd. La resolution des noms de la zone sd . f oo . org est prise en charge par les serveurs de noms de la zone sd, 
nous n'avons done pas a nous en occuper. Par contre nous devons declarer ces serveurs afin de maintenir la coherence de la 
hierarchie. 

Configuration de la delegation : sur le serveur de noms de la zone foo . org il faut rajouter les enregistrements qui decrivent 
les serveurs de noms de la zone sd . f oo . org dans le fichier de zone db . f oo . org. 

sd 86400 NS nsl.sd.foo.org. 

86400 NS ns2.sd.foo.org. 

Et les enregistrements qui determinent les adresses de ces serveurs de noms. 

nsl.sd.foo.org. IN A 192.168.254.1 

ns2.sd.foo.org. IN A 192.168.254.2 

La delegation de la zone in—addr.arpa : Dans la pratique, cette delegation est differente car la zone inverse ne depend pas de la 
zone superieure, mais d'une autre entite (in-addr). Le processus est done un peu different. 

Pourquoi ? parce que cette zone reverse est geree par l'entite qui gere l'espace 192.168.0 a 192.168.255 et il est fort probable 
que ce n'est pas la zone foo qui assure la resolution inverse pour tous les reseaux compris entre 192.168.0 et 192.168.255. 

Ceci dit, cela n'empeche pas de realiser cela sur une maquette. Il est possible de mettre en place cette resolution inverse. Nous 
allons done considerer que la zone foo . org assure la resolution de noms inverse du reseau 192.168.254. Ce reviendrait a 
considerer que dans la realite, la zone sd serait un sous domaine de foo. La configuration ici est simple, les masques de 
sous-reseaux utilises ici sont ceux par defaut des classes (255.255.255.0) pour la classe C. Le principe pour la zone inverse est 
identique a celui de la zone directe. Il suffit de rajouter dans le fichier db . 0 . 1 68 . 1 92 les enregistrements suivants : 


sd. foo . org. 


IN 

NS 

nsl . sd. foo . org 



IN 

NS 

ns2 . sd . foo . org 

1.0.168.192. in-addr . arpa 

86400 

IN 

PTR 

nsl . sd. foo . org 

2.0.168.192. in-addr . arpa 

86400 

IN 

PTR 

ns2 . sd . foo . org 
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26.9.4. Annexe 3 - Outils de diagnostique et controle 

http://www.dnsreport.com/tools/dnsreport.ch Le plus complet pour les tests. II explique assez bien les probleme et les 
modifications a faire pour les resoudres. Avec le serveur eclis ont peut arriver a n'avoir que 2 warnings: "Multiple MX records" 
et "Mail server host name in greeting" qui corresponds respectivement au fait que Ton a pas de serveur de mail de secour et que 
Ton fait du virtual hosting. Note: ce test utilise un des root name serveur au hazard. II faut faire le test plusieur fois pour avoir 
un appercu complet de la situation. 

http://www.zonecut.net/dns/ Affiche la situation vu depuis un root name serveur pris au hazard et ce avec une jolie 
representation grphique. La aussi il faut tester plusieurs fois pour avoir un apcrcu complet. Les quelques lignes de resume a la 
fin sont interessantes. 

http://www.squish.net/dnscheck/dnscheck.cgi Le seul qui fait un test exaustif de tout les root name serveur et qui fait un 
resume pertinant a la fin. II est un peut lent mais 5 a va finalement plus vite que de tester 10 fois les autres outils pour passer en 
revue tout les root name serveurs... Ca demontre bien, avec des probabilites en poucent, pourquoi on obtient pas toujours les 
memes resultats quand il y a un probleme avec les DNS. 


Chapitre 27. Travaux diriges : installation du service DNS 

27.1. Presentation - le contexte 

Vous utilisez deux machines Ml et M2. 

Ml sera serveur primaire de votre zone, il est egalement serveur HTTP, serveur FTP, serveur de messagerie et serveur de news. 

M2 sera client de Ml pour les trois premieres parties du TP et serveur secondaire pour la quatrieme partie. 

Vous prendrez l'adresse de reseau 192.168.X.0. x est variable pour chacun des binomes du groupe. La valeur sera donnee par 
votre enseignant. Vous remplacerez x par la valeur fournie tout au long de ce document (TD et TP). 

Votre domaine est couleur ou couleur est une variable que vous donnera votre enseignant. Couleur prendra une des 
valeurs rouge, vert, bleu... 

On considere que Ml est serveur web, serveur ftp, serveur de messagerie et serveur de news. 

Voici les noms qui sont assignes : 


• Serveur de noms primaire : ns 1 

• Serveur HTTP : www 

• Serveur ftp : ftp 

• Serveur de noms secondaire : ns2 

• Serveur de mail : mail 

• Serveur de news : news 

Redigez les elements des fichiers named . conf des serveurs primaires et secondaires de votre zone. Vous redigerez 
egalement les fichiers de ressources de la zone couleur . org. 

Vous utiliserez les documents fourths dans la fiche de cours et en annexe. 


Chapitre 28. Travaux pratiques : installation du service DNS 

28.1. Presentation 

Vous utilisez deux machines Ml et M2. Le TP comporte quatre parties. 

1 . Premiere partie : preparation de votre environnement reseau client et serveur 

2. Deuxieme partie : configuration de la resolution de noms pour la zone directe : 

Ml sera serveur de noms 
M2 sera client de Ml 

Test de la configuration a l'aide des commandes ping, et de requetes ftp, http 

3. Troisieme partie : configuration de la resolution de noms pour la zone reverse 

Test de la configuration a l'aide de dig 
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4. Quatrieme partie : mise en place du serveur secondaire, modification de l'enregistrement SOA du serveur primaire 

5. Test du transfert de zone 

Vous utiliserez les documents realises en TD. 


28.2. Preparation de votre environnement reseau client et serveur 

Ouvrez une session et passez administrateur 

Renommez sur les deux machines les fichiers /etc/hosts (mv /etc/hosts /etc/hosts . original) afin d'eviter 
les effets de bords sur la resolution de noms. 


28.3. Installation du serveur de noms primaire 

Procedure de configuration du serveur 

Verifiez que vous avez bien les fichiers de configuration de la zone locale, sinon vous devez commencer par la. Vous 
completerez ensuite la configuration pour votre zone. Faites une copie de sauvegarde de ces fichiers. 


• /etc/bind/named . conf (fichier de configuration du serveur de noms primaire), 

• /etc/bind/db . couleur . org qui contiendra la description de la correspondance nom-adresse de toutes les 
machines de votre zone. 

• /var/db . couleur . org . rev qui contiendra la correspondance inverse adresse-nom (pour la resolution inverse 
de nom in-addr.arpa). 

Verifiez et validez la configuration des cles de rndc . conf et named . conf. 


28.3.1. Configuration du service serveur DNS manuellement 

Faites la configuration du serveur (fichiers named, conf, ressources, rndc). 
Demarrer le serveur. 

Verifier le bon fonctionnement (traces dans les journaux, processus) de named et rndc. 
Corrigez tant qu'il y a des erreurs. 

28.3.2. Configuration du service client manuellement 


• Les services clients de Ml et M2 doivent etre configures pour utiliser le service de resolution de noms. 

• Modifiez sur les deux machines le fichier /etc/resolv . conf . 

• Relancez le service reseau. 

• Testez la configuration 

• Verifiez que la resolution de noms fonctionne sur : 
www.couleur.org 

ftp.couleur.org 
mail.couleur.org .... 

• Corrigez tant que cela ne fonctionne pas. 

• Verifiez a 'aide la commande ping, de requetes FTP ou FITTP a partir d'un client, que le serveur de noms retourne 
bien les enregistrements. 

Verifiez a l'aide la commande dig, que le serveur repond bien sur differents types de requetes (dig any, dig www, dig 
soa). 


28.4. Configuration de la zone reverse 

Configurez a l’aide des fichiers fournis en annexe, la zone inverse (reverse). Ceci consiste a rajouter une declaration dans le 
fichier named . conf. Creez le fichier de ressource correspondant. 

Relancez le service named, verifiez les journaux, corrigez les eventuelles erreurs. 

Verifiez a l'aide de dig que les requetes de type dig ptr fonctionnent. 
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28.5. Installation du serveur de noms secondaire 

Sur M2 verifiez que vous avez bine les fichiers de declaration pour la zone locale. Ajoutez et declarez les zones directe et 
inverses pour votre zone. 

Activez le serveur secondaire, verifiez que le service est actif et verifiez egalement dans les journaux qu'il n'y a pas d'erreurs. 
Vous devez avoir dans /var / log/ daemon, une trace qui confirme le transfert de zone. 

N'allez pas plus loin tant que cela n’est pas en parfait etat de fonctionnement. 

28.5.1. Procedure de test du serveur secondaire 

Arretez sur le serveur primaire le service named. 

Configurez un client pour qu’il puisse utiliser aussi bien le serveur primaire que le serveur secondaire. Ajouter pour cela un 
enregistrement de declaration du serveur secondaire sur le client. 

Testez le fonctionnement du serveur secondaire, a partir d’un client, en utilisant des requetes sur www . couleur . org ou 
ftp . couleur . org. 

C’est le serveur secondaire qui doit repondre, le serveur primaire etant inactif. 

Verifier cela avec la commande dig. 


28.6. Test de I'enregistrement SOA 

Modifiez au minimum le temps de rafraichissement des enregistrements du serveur Primaire. (2 ou 3 mn). Modifiez egalement 
le N° de serie. Relancez le serveur primaire et verifiez dans les logs que le transfert de zone s’effectue bien. 

Faites une modification sur votre fichier de ressources db . couleur . org et modifiez le N° de serie. Attendez quelques 
minutes, vous devriez trouver une trace de synchronisation des bases de donnees des serveurs, sans avoir eu besoin de relancer 
aucun serveur. 


Chapitre 29. Installation d'un serveur NFS 

Le partage de fichiers pour les clients Unix 

Le partage de fichiers pour les clients Unix 


29.1. Resume 

Pourquoi un service NFS alors que celui-ci est tres peu utilise sur les environnements Windows et qu'il n’existe a ma 
connaissance pas de produits libres client ou serveur pour Windows. Pour deux raisons : 

La premiere est que le service NFS est tres largement employe dans les environnement Unix/Linux. Si vous avez des machines 
sous Linux vous utiliserez NFS. II est done necessaire de connaitre les procedures de configuration et d’utilisation de ce 
service. 

La deuxieme concerne Windows. Vous aurez sans doute un jour envie ou besoin d'installer le produit Windows Services For 
Unix (WSFU) de Microsoft. Ce produit disponible deja sous Windows NT4 Server et mis a jour pour Windows 2000, offre de 
nombreux outils d'administration de type Unix pour Windows, dont un service NFS. 

Nous allons voir, dans un environnement Linux, comment utiliser le service NFS. 


29.2. Installation des produits clients et serveurs 

Sur une debian, et done sur la Freeduc-Sup, vous pouvez installer les outils necessaires sur un serveur grace a apt-get. 

Sur le serveur, il faut installer portmap, nfs-common, et nfs-kernel-server. 

apt-get install portmap nfs-common nfs-kernel-server 

Sur le client, il est faut installer nfs-common et portmat. 

apt-get install portmap nfs-common 

En ce qui concerne les securites, sachez que NFS utilise le wrapper tep (tepd). Il est possible de configurer la securite via les 
fichiers /etc/hosts . allow et /etc/hosts . deny. Les protocoles a ouvrir sur le serveur sont statd, nfsd, lockd, rquotad 
et mountd. Sur le client, il faut permettre a statd d'acceder a localhost. 
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Vous pouvez activer NFS par la commande /etc/init . d/nf s-kernel-server start. II vous faudra au prealable 
avoir defini les ressources a partager (expoiter). 


Les programmes sur lequel s'appuie le service NFS utilisent les RPC (Remote Procedure Call). Ils s'inscrivent done aupres du 
service portmap qui met a jour sa table de service rpc. Void un extrait de ce que donne la commande rpcinfo -p 

program vers proto port 


100000 

2 

tep 

111 

portmapper 

100000 

2 

udp 

111 

portmapper 

100003 

2 

udp 

2049 

nfs 

100003 

3 

udp 

2049 

nfs 

100003 

2 

tep 

2049 

nfs 

100003 

3 

tep 

2049 

nfs 

100021 

1 

udp 

33065 

nlockmgr 

100021 

3 

udp 

33065 

nlockmgr 

100021 

4 

udp 

33065 

nlockmgr 

100021 

1 

tep 

38399 

nlockmgr 

100021 

3 

tep 

38399 

nlockmgr 

100021 

4 

tep 

38399 

nlockmgr 

100005 

1 

udp 

967 

mountd 

100005 

1 

tep 

970 

mountd 

100005 

2 

udp 

967 

mountd 

100005 

2 

tep 

970 

mountd 

100005 

3 

udp 

967 

mountd 

100005 

3 

tep 

970 

mountd 


Voici maintenant les processus qui doivent etre actifs sur le serveur NFS. 


portmap gere le catalogue des programmes RPC, 


mountd est charge des operations de montage/demontage d'arborescence, 


nfsd execute les primitives d'acces aux fichiers - requetes emanant des clients. 


29.2.1. Les fichiers de configuration du serveur NFS 

/etc/exports decrit ce que le serveur exporte, vers quelles machines le serveur exporte, avec quelles autorisations. II s'agit 
d'un fichier texte, qui est editable avec n'importe quel editeur. II centralise la liste de l'ensemble des ressources offertes par 
cette machine. Notez cependant que le nom de partage est automatiquement celui de la ressource (on ne peut pas partager sous 
un autre nom), et qu'enfin, on peut ponctuellement partager une ressource sans passer par ce fichier (a la volee : voir exportfs). 

Exemple de fichier /etc /exports : 

# Ressource Options Liste_de_Clients 

# Exporte /tmp vers la machine "cli" avec possibilite Read Write (rw) 

# rw est 1' option par defaut 
/tmp cli (rw) 

#Exporte "/tmp" en lecture seule vers toutes les machines du reseau 
/tmp * (ro) 


29.2.2. Les fichiers de configuration du client NFS 

II n'y a pas de fichier particulier. II suffit que les programmes soient installes (portmap et nfs-common). Pensez a lancer le 
portmap, sinon le montage restera en attente. 

/etc/init . d/portmap start 

Les repertoires exportes par un serveur peuvent etre « montes » manuellement ou a la demande. Nous verrons comment 
configurer un fichier sur le poste client, afin qu’un dossier soit « monte » automatiquement au demarrage du client. II s'agit 
dans ce cas de l'utilisation permanente de la ressource. 

29.2.3. Exemple Unix de montage NFS 

Prenons la configuration precedente ( fichier /etc /exports ci-dessus) 

Le client clil monte (importe) /tmp de nsl sur le repertoire local /tempo en utilisant la commande suivante 
$mount -t nfs nsl : /tmp /tempo, -t indique le type de SGF - arborescence NFS - 
Une fois montee, faeces a la ressource est transparent. 

En fin d'utilisation, le client demonte l'arborescence /tmp en utilisant la commande $umount /tempo 

A chaque operation de montage ou demontage, le fichier local /etc/mtab est mis a jour. II contient la liste des systemes de 
fichiers montes (arborescence NFS ou non). 
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Attention : NFS utilise un cache. Si vous ne voulez pas perdre de donnees, utiliser une procedure de « demontage » des 
disques ou alors un « shutdown » du poste client. Dans les autres cas, vous risquez de perdre les informations logees en 
cache. 


29.2.4. Configuration du serveur 

Veriftez que le noyau supporte le systeme de fichiers nfs: 

Utilisez la commande more /proc/ filesystems, voici ce que vous pouvez obtenir. 


nodev pipefs 
ext2 

nodev ramfs 
msdos 
vfat 
iso9660 
nodev usbfs 
nodev nfs 


Le systeme de fichiers nfs doit apparaitre. S'il n'apparait pas, c'est que le systeme n’est pas compile avec le support de NFS, ou 
alors il est compile pour le charger comme un module. Si c'est le cas, vous pouvez charger le module avec la commande : 


insmod nfs 


ou encore 

modprobe nfs 

Le module doit apparaitre avec la commande lsmod, et le fichier /proc/f ilesystems est normalemnt modifie (insmod 
force l'insertion d’un module dans le noyau, un module pouvant etre un pilote de peripherique par exemple, ou des 
fonctionnalites de la machine. Modprobe insert le module avec autodetection, afin de vous rendre compte de son bon 
fonctionnement, ou en donnant les bons parametres. Lsmod liste les modules presents dans votre noyau, et rmmod permet la 
suppression d’un module present dans le noyau). 


29.2.4.1. Le fichier /etc/exports 

Ce fichier est utilise par les daemons pour determiner les volumes qui seront exportes (accessibles), et quels seront les 
permissions a accorder sur ces volumes. II existe autant de lignes que de points de montage. La structure d’une ligne est de la 
forme : 

PointDeMontage clientl (option) clientn (option) 


- PointDeMontage est le volume local a exporter, 

- Clientl ... Clientn definissent les ordinateurs qui ont le droit d’acceder au volume exporte, 

- Option: definit le type d’acces et les permissions. 

Exemple de fichier avec la commande more /etc/exports 

/tmp * . archinet . edu (rw) 

/usr/ local /man * . archinet . edu (ro) 


Le dossier / tmp est exporte en lecture et ecriture pour tous les ordinateurs du domaine archinet.edu. Le dossier 
/usr/ local /man en lecture uniquement. 

Voici quelques options de montage, utiliser man exports pour avoir la liste exhaustive : 

Secure : requiert une authentification 
Insecure : ne requiert pas d’authentification 
ro I rw : lecture uniquement ou lecture ecriture 

Noaccess : permet d’exclure une partie de l’arborescence pour des clients donnes 
Voici un extrait de la page de manuel : 


Exemple 


# fichier 
/ 

/projects 

/usr 

/home/ joe 
/pub 


/etc/exports d' exemple 

maitre (rw) confiance (rw, no_root_squash) 
pro j*. local. domain ( rw) 

*. local . domain (ro) @trusted(rw) 
pc 00 1 (rw, all_squash, anonuid=150 , anongid=100 ) 
(ro, insecure, all_squash) 
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Commentaire : 

La premiere ligne exporte l'ensemble du systeme de fichiers vers les machines maitre et confiance. En plus des droits d'ecriture, 
toute conversion d'UID est abandonnee pour l'hote confiance. 

La deuxieme et la troisieme ligne montrent des exemples de noms d'hotes generiques, et de sous-reseaux ('@trusted'). 

La quatrieme ligne montre une entree pour le client PC/NFS presente plus haut. 

La derniere ligne exporte un repertoire public de FTP, a tous les hotes dans le monde, en effectuant les requetes sous le compte 
anonyme. L'option insecure permet l’acces aux clients dont l’implementation NFS n’utilise pas un port reserve. 


29.2.4.2. L'identite des utilisateurs 

Un des problemes de NFS va etre la gestion des utilisateurs et de leurs droits. Le serveur NFS va tenter d'identifier les users de 
la machine cliente par rapport au systeme habituel d'authentification de la machine. Tant que le client et le serveur ne se 
mettent pas d’accord sur une base commune d’identification, les confusions, voire les attaques, sont possibles. En effet, 
comment gerer les droits de futilisateur Pierre qui vient de la machine client Pluton si notre serveur ne connait aucun utilisateur 
Pierre ? Et d’abord, comment sait on quel utilisateur est connecte ? 

La reponse est simple : par son id. Or, si on a deux systemes d'authentification differents et autonomes (par exemple, par 
/etc/passswd, sur chacune des machines), qui dit que fid de Pierre sur la machine cliente ne sera pas celle de Paul sur la 
machine serveur ? 

En fait, e'est encore pire : Si on ne met pas un systeme commun d’identification (et pour etre sur, d'authentification), on est 
certain de confondre les utilisateurs. DE MANIERE GENERAL, IL VAUT MIEUX UTILISER NFS DANS UN 
ENVIRONNEMENT DE CONFIANCE 

NFS offre de commandes qui permettent de manipuler les identifiants des utilisateurs afin de plier ceux-ci a notre systeme de 
securite (controle et modification des identifiants donnes par les clients). 


29.2.5. Configuration et utilisation du client Unix/Linux 

29.2.5.1. Programmes client 

Comme vu plus haut, n'oubiez pas d'avoir portmap actif sur votre client. Les programmes clients a utiliser sont : mount et 
showmount 


29.2.5.2. Le fichier /etc/fstab 


Ce fichier contient une table des volumes montes sur le systeme. II est utilise par les daemons mount, umount, fsek. Les 
volumes declares sont montes au demarrage du systeme. Voici un extrait de fichier : 


Exemple 


/dev/hdal / ext2 

/dev/hda2 swap swap 

/dev/fdO /mnt/ floppy ext2 

/dev/edrom /mnt/edrom iso9660 

nsl : /usr/local/man /doc nfs 


defaults 1 1 

defaults 0 0 

noauto 0 0 

user , noauto, ro 0 0 

rsize=8192,wsize=8192, t imeo=l 4 , int r 


La derniere ligne indique que le volume /usr/local/man, situe sur le serveur nsl, et qui contient les pages du manuel est 
un volume nfs, monte sous le nom de local de /doc. 


Ce fichier evite d'avoir a « monter » manuellement des systemes de fichiers ou d'avoir a indiquer les points de montage, 
bien que cela puisse s'averer parfois necessaire (utilisation ponctuelle d'une ressource...). L'option auto permet de preciser si 
le montage doit etre fait automatiquement au demarrage de la machine. L'option noauto permet d’indiquer le montage tel 
qu’il doit etre fait, lors d’une demande manuelle de montage (pratique pour les disquettes, CD et autres lecteurs amovibles). 


29.2.5.3. Montage manuel de systeme de fichiers 

La commande souvent utilisee est de la forme mount -t TypeDeSGF NomDeMontage VolumeMonte. 

Vous pourrez avoir toutes les options avec la commande man mount ou une aide plus breve avec mount — help. 
Exemple de montage : mount -t nfs nsl : /usr/local/man /doc. 

La forme standard de la commande mount est mount -t type peripherique repertoire avec : 

Type : type de sgf (fat, vfat, nfs, ext2, minix....) pour nous e'est nfs 

Peripherique : nom du fichier exporte sous la forme NomServeur:NomDossierExporte 

Repertoire : nom du repertoire local de montage/ 
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Le type de fichier que vous montez est de type nfs, vous utiliserez l'exemple de la commande ci-dessous : 

mount -t nfs serveurNFS : /usr/share/doc /mnt/doc 

Commentaire : la ligne de commande monte le repertoire exporte /usr/share/doc du serveur serveurNFS, sur le repertoire 
local du client /mnt/doc. 

Le mtab est modifie chaque fois que l'utilisateur « monte » ou « demonte » un systeme de fichiers. Le systeme tient a 
jour une table des volumes montes. 

Attention, faeces a la commande mount n'est, par defaut, autorisee que pour root. 

II faut rajouter l'option user dans le fichier /etc/ f stab, afin qu'un autre utilisateur puisse acceder a cette commande. 
Exemple : /dev/cdrom /mnt/cdrom iso9660 noauto,ro 
devient /dev/cdrom /mnt/cdrom iso9660 user,noauto,ro 
La prise en compte des modifications est dynamique. 

La commande mount sans parametres donne la liste des volumes montes. La commande consulte la table maintenue a jour 
dans le fichier mtab. 


29.2.5.4. La commande showmount 

Cette commande permet d'interroger un hote distant sur les services NFS qu'il offre, et notamment les volumes qu'il expoite. 

showmount -e AdresseIP_ou_NomIP lancee a partir d’un client nous affichera la liste des ressources offertes par 
sAdresselP _ou_NomIP (=serveur). 

Sur le serveur, showmount -a nous affichera la liste des clients connectes sur chacune de nos ressources. 

De meme, sur le serveur, la command showmount -e affiche le liste des partages en cours. 


29.2.5.5. Autres commandes d'administration 

rpcinfo : (par exemple rpcinfo -p consulte le catalogue des applications RPC (nfsd, mountd sont des applicatifs RPC parmi 
d' autres). 

nfsstat : fournit des statistiques d'utilisation de NFS. 

La commande exportfs permet elle aussi d'obtenir la liste des partages en cours, de relancer le service (pour la prise en compte 
d'eventuelles modifications du fichier /etc/exports, voir meme d'effectuer un partage a la volee (sans passer par 

/ etc/exports). 

exportfs -v affiche les partages en cours. 

exportfs -r active les changements fait dans le fichier de configuration de partage NFS (il fait relire le fichier 
/etc/exports par le programme serveur). 

exportfs machine : /repertoire offre a la volee a machine (qui peut etre aussi bien un nom de machine qu'etoile, ou un 
reseau) le partage /repertoire. On peut passer des options avec -o. 

Exemple 

texportfs — v 

/tmp pluton (rw, root_squash) 
texportfs -o rw, no_root_squash 192 . 168 . * : /opt/sav 
texportfs — v 

/tmp pluton (rw, root_squash) 

/opt/sav 192 . 168 . * (rw, no_root_squash) 


Chapitre 30. Travaux pratiques : partages NFS 

30.1. Premiere partie 

Vous allez configurer un service de partage de disque pour un client Unix. Vous serez, au cours du TP, serveur pour un autre 
binome puis client du serveur dim autre binome. Vous allez creer deux repertoires partages qui seront accessibles par le client : 


• /tmp sur le serveur sera accessible en lecture/ecriture 

• /usr/share/doc sur le serveur sera accessible en lecture pour le client. 
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Ces repertoires seront montes respectivement sur les repertoires locaux /mnt /tempo et /mnt/doc 

Vous pourrez utiliser les commandes man exports , man mount , man showmount , man fstab. man rpcinfo. 


1. Creez sur le serveur le fichier /etc/exports, et declarez les repertoires exportes. 


Activez le service portmap. Verifiez qu'il est bien actif. 

Voici un exemple de ce que vous pouvez obtenir avec rpcinfo — p : 


ram no 

.version protocole 

no_port 

100000 

2 

tep 

111 

portmapper 

100000 

2 

udp 

111 

portmapper 

100011 

1 

udp 

725 

rquotad 

100011 

2 

udp 

725 

rquotad 

100003 

2 

udp 

2049 

nfs 

100005 

1 

udp 

1026 

mountd 

100005 

1 

tep 

1047 

mountd 

100005 

2 

udp 

1026 

mountd 

100005 

2 

top 

1047 

mountd 


2. Verifiez sur le serveur les fichiers exportes avec la commande showmount -e 

Attention, si vous montez une arborescence sur un repertoire local, et que ce repertoire contenait des fichiers, ces 
derniers seront masques le temps du montage. 

3. Creez sur le client les points de montage, montez les dossiers exportes du serveur et testez les acces a partir du client. 

4. Verifiez les permissions d'acces lecture et lecture/ecriture. 

5. A partir du client, creez un fichier sur le f s (file system) accessible en ecriture. 

6. Ouvrez une autre session sur le serveur dans un autre terminal et essayez de demonter les repertoire montes. Que se 
passe t-il, pourquoi ? 

7. Verifiez sur le serveur les fichiers exportes avec la commande showmount -a. 

8. Demontez les systemes de fichiers. 


30.2. Deuxieme partie 


1 . Editez et modifiez le fichier sur le client afin d'inclure les systemes de fichiers nfs exportes par le serveur. Utilisez 
l'exemple que vous avez dans /etc/ fstab. 

2. Rajoutez les lignes necessaires en vous servant de l'exemple ci-dessous. 

serveurNFS : /usr/share/doc /mnt/doc nfs user 

3. Verifiez que les modifications que vous avez apportees dans le fichier fstab fonctionnent. 

4. Supprimez l'option user sur les lignes que vous avez mises dans le fichier fstab, enregistrez. Essayez ensuite de 
monter 1'arborescence en utilisant un compte autre que « root ». Que se passe-t-il ? 

5. Restaurez l'environnement. 


30.3. Troisieme partie 


1. Creez un utilisateur Linus sur la machine client, et donnez lui l'UID 1100. Creez un utilisateur Larry sur le serveur 
(UID 1100). 

2. Realisez un partage de /tmp sur le serveur, que le client montera dans /mnt. 

3. Sur le client, Linus cree un fichier dans /mnt. Verifiez son proprietaire 

4. Sur le serveur, verifiez le content! du repertoire /tmp. A qui appartient le fichier cree ? 

5. De fagon theorique, pour quel utilisateur cela est il encore plus dangereux ? Quels sont les UIDs que vous connaissez 
tous a l'avance ? 

Consultez la page de man de exports (c'est un fichier de configuration, done dans le chapitre 5 : man 5 exports, et 
plus largement man man). 

6. Dans un environnement de grande confiance, vous voulez donner le droit a un root distant d'etre reconnu comme root 
sur le partage. Comment faire ? Testez. 

7. Interdisez ensuite seulement a root d'etre confondu avec le root local, mais laissez les autres utilisateurs etre eux 
memes. Testezxi. (Ceci est le comportement par defaut). 

8. Sachant que l'UID de l'utilisateur nobody, qui existe certainement sur votre machine, est certainement 65534, trouvez 
une solution pour donner a toute personne se connectant l'identite de nobody. Creez un nouvel utilisateur BillG sur 
votre client, en verifiant bien que son UID n'existe pas dans la securite locale du serveur. 

9. Montez le repertoire partage a partir du client, et testez la creation et faeces aux fichiers avec les utilisateurs 
BillG.Linus, et root. Que remarquez vous ? 

10. Comment faire pour que tous les utilisateurs soient transformes en nobody ? Testez. 

11. Vous devez maintenant offrir un partage de / tmp, mais chaque machine qui se connectera sur ce partage doit etre 
differenciee (peu importe l'utilisateur de cette machine). On vous propose de creer sur le serveur des utilisateurs 
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clientl, client2 et client3. Chaque machine qui se connectera se verra affublee de chacun de ces comptes (tout 
utilisateur de la machine client PCI sera l'utilisateur clientl sur le serveur, tout utilisateur du pc client PC2 sera 
reconnu comme utilisateur client2 sur le serveur, et ainsi de suite. Creez le fichier /etc /exports correspondant a 
ces contraintes. Testez, et validez votre solution. 


Chapitre 31. Installation d'un service de messagerie 

Les protocoles SMTP, POP et IMAP - Fiche de cours 

Les protocoles SMTP, POP et IMAP - Fiche de cours 


Comment installer un serveur SMTP, un client IMAP et un client POP3 


31.1. Le service de messagerie electronique 

La messagerie electronique est une application tres importante et des plus utiles des reseaux. Plus rapide et moins onereuse que 
la plupart des autres moyens de communication (telecopie, telephone, courrier postal, coursier...) la messagerie electronique est 
un vecteur de plus en plus important dans la communication aussi bien interne qu'externe. Dans l'univers des reseaux TCP/IP, 
la messagerie SMTP ( Simple Mail Transport Protocol) est de loin la plus utilisee, notamment avec sendmail qui est le standard 
en matiere de serveur SMTP sur les machines Unix. 

Le logiciel libre Postfix est un gestionnaire de messagerie simple a configurer et con£u pour une securite optimale. De plus il 
est peu gourmand en ressources systeme et constitue done une veritable alternative a Sendmail. Le choix de Postfix est legitime 
tant pour le traitement de flux importants de messages que pour de petites installations. 

L'objectif de ce cours est de preparer finstallation et la mise en exploitation de Postfix en lieu et place de Sendmail. 


31.2. Terminologie 

31.2.1. MHS, MTA, UA, DUA 

Le MHS (Message Handler System) est le systeme global de messagerie, 

Le MTA (Message Transfert Agent est compose d'agents. Un agent de routage (sendmail, MS eXchange...) et un agent de 
transport (SMTP, UUCP). 

L'agent de routage a pour but d'acheminer le message, en fonction de l’adresse vers son destinataire. Pour nous, avec 
l’environnement Linux, l’agent de routage est sendmail. L'agent de transport re£oit un message et une direction. II ne prend 
aucune decision sur la route a utiliser. Pour nous, protocole de transport peut etre SMTP ou UUCP. Le logiciel Sendmail assure 
les deux fonctions de transport et de routage. 

L’UA ou MUA, Message User Agent, est le programme utilise par le client pour composer, envoyer et recevoir les messages. 
Pour la composition et l’envoi des messages il existe des programmes comme mail sous Linux. D’autres programmes sont 
utilises comme Eudora, Netscape, kmail... On appelle souvent l’UA un « mailer local » si on utilise des outils comme 
Eudora, Oulook, Mutt, Kmail, ou un « web mail » si on utilise un navigateur comme Mozilla, Netscape ou Internet 
explorer pour consulter sa messagerie. Ces outils utilisent des protocoles differents. Les protocoles utilises sont SMTP ou 
UUCP pour envoyer, et POP3, IMAP, POP3s, IMAPs pour recevoir. 

Il existe egalement un agent (DUA - Delivery User Agent) pour la remise physique du courrier entrant dans la boite aux lettres 
de l’utilisateur (BAL). Sur Linux nous utilisons procmail. Cette remise locale (local delivery) est realise par un agent (mail, 
procmail...) dans des boites aux lettres (mailbox) pour memorisation, (/var/mail/dupont, 

/var/ spool/mai 1/dupond). 


Figure 31-1. Message Handler System 


31.3. Historique et evolution de sendmail 

Sendmail est le routeur de courrier depuis 1982. Il repond aux preconisations de la RFC 822. En 1993, ne le standard MIME - 
RFC 1521 (Multipurpose Internet Mail Extensions), puis en 1994 les extensions du service SMTP (RFC 1652, 1869) pour le 
transfert caracteres 8 bits. 
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31.3.1. MIME 

Le but de MIME est de standardiser les methodes de transfert de donnees 8 bits, structurer le corps du message en contenus 
(body-parts), standardiser les differents contenus possibles. Un en-tete est rajoute a ceux definis dans le RFC 822 : 

Mime- version: 1 .0 


31.3.1.1. Le standard MIME 

MIME supporte plusieurs type d'encodage comme : 

1 . Texte 7 bits, US-ASCII 

2. Quoted-Printable (Caractere non US-ASCII remplace par une sequence =XY, XY etant le code hexadecimal du 
caractere.) 

3. Base 64 (Texte, image, son) 

4. 8Bits (les lignes sont composees de caracteres 8 bits, il faut preciser l'alphabet : iso-latinl) 

5. Binary 

La strucure d'un message MIME est standardisee par des en-tetes supplementaires qui decrivent la structure et le type de 
contenu (format des donnees) du message. 

Exemple de declaration decrivant la structure : 

1 . Multipart/mixed 

2. Multipart/parallel (plusieurs parties avec affichage en parallele.) 

3. Multipart/digest (d'autres messages inclus dans le message) 

4. Multipart/alternative (partie du message affichee suivant l'environnement du correspondant.) 

Exemple de declaration decrivant le format des donnees 

1. Text/plain : charset=iso-8859-l 

2. Text/richtext 

3. Image/gif 

4. Image/jpeg 

5. Audio/basic 

6. Video/mpeg 

7. Application/octet-stream : exemple word 

8. Application/postscript 


31.3.1.2. Exemple de message 

From mascret Mon Mar 19 08:02:46 2001 
Return-Path : <Marcel . Giry@unilim . f r> 

Delivered-To : alix . mascret @beaupey rat . com 

Received: from limdns2.unilim.fr (limdns2.unilim.fr [164.81.1.5]) 

by pegase.beaupeyrat.com (Postfix) with ESMTP id AC04237B05 
for <salvaco@beaupeyrat . com>; Mon, 19 Mar 2001 08:02:44 +0100 (CET) 
Received: from pctest (modem8.unilim.fr [164.81.1.208]) 

by limdns2.unilim.fr (8 . 9 . la/ jtpda-5 . 3 . 2 ) with ESMTP id IAA04253 
; Mon, 19 Mar 2001 08:02:39 +0100 
Message- Id: <4.2.0.58.20010319080303. 00950a70@pop . unilim. f r> 

X-Sender: xalan@pop.unilim.fr (Unverified) 

X-Mailer: QUALCOMM Windows Eudora Pro Version 4.2.0.58 
Date: Mon, 19 Mar 2001 08:05:13 +0100 
To: salvaco@beaupeyrat.com, 
xalan@univlim . fr 

From: Ximian Alan <xalan@univlim . f r> 

Subject: Controle IUT2 
Mime-Version: 1.0 
Content-Type: multipart/mixed; 

boundary="=====================_811307==_ n 

Status: RO 
X-Status : A 


31.3.1.3. L'importance d'un bon UA 

MIME permet l'utilisation de plusieurs types de donnees (text, audion compresses...) et plusieurs format (rtf, doc, gz, zip...). II 
est important de posseder un UA de bonne qualite. 

1. Reconnaitre et afficher du texte US-ASCII, 

2. Reconnaitre les autres jeux de caracteres et permettre de sauvegarder les contenus non reconnus dans un fichier pour 
traitement ulterieur 

3. Reconnaitre et afficher les contenus de type message/RFC822 

4. Reconnaitre le type Multipart/mixed 

5. Reconnaitre le type Multipart/alternative 

6. Traiter les Multipart non reconnus comme Multipart/mixed 

7. Decoder les contenus de Application/* si l'encodage quoted-printable ou base64 est utilise, puis offrir de sauver le 
resultat dans un fichier. 
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31.4. Pourquoi Postfix 

Le serveur de messagerie standard sur les systemes Unix est le serveur Sendmail. Sendmail a fait ses preuves. L'inconvenient 
est son mode de configuration. Toutes les fonctions de messagerie sont realisees par un seul programme. Sa structure est dite 
monolithique et la configuration (fichier sendmail . cf) en est d’autant plus compliquee. Ce phenomene s'accroit avec 
f amplification de l'utilisation du service de messagerie (augmentation de frequence/volume) et avec l'exposition aux tentatives 
de piratage des serveurs de messagerie. II existe d’autres serveurs de messagerie sur Unix (QMail, Z-mailer...) tous presentent 
des inconvenients au niveau utilisation de la bande passante, inter-operabilte, respect des RFC, facilite de configuration, 
securite... 

L'objectif de postfix est d’apporter une solution a ces differents problemes. 


31.4.1. Buts premiers : un nouveau MTA sous Unix 

1 . beneficier de l’experience de sendmail 

2. facile a administrer : ce qui est facile a comprendre est plus facile a securiser. 

3. rapide et evolutif : le trafic SMTP de 1999 n'est pas celui de 1980. II faut pouvoir faire un logiciel supportant les sites 
enormes (ISP, Acces des grosses entreprises, ...) 

4. compatibilite sendmail maximale 

II assure egalemetn un compatibilite et le support : 

1. des MUA existants (pine, mutt, mail...) 

2. des gestionnaires de liste (majordomo, sympa...) 

3. des formats de boite aux lettres (mh, mbox, qmail-dir, ...) 

4. des agents d’acheminement local (procmail, deliver, cyrus...) 

5. des configurations (UUCP, reecriture, mailertable, ...) 

6. des utilisateurs (alias, .forward, ...) 

7. des RFCs 


31.4.2. L'Auteur 

L' Auteur - Wietse Venema - est connu pour ses contributions a la securite et aux logiciels libres. II est egalement auteur de 
TCP_Wrapper et d'un portmap securise. II est co-auteur avec D. Farmer de SATAN. II travaille au Watson Research Center 
d’lBM. 

Postfix est un logiciel libre. Le site officiel est www.postfix.org. 


31.5. Architecture de postfix 

Postfix (voir bigpicture.gif) est architecture autour d'un module de reception des messages (voir inbound.gif) et de celui qui 
permet de delivrer ces messages (voir outbound.gif). 


Figure 31-2. Architecture de Postfix 


Figure 31-3. Reception des messages 


Figure 31-4. Traitement des messages 


31.5.1. La reception des messages (entrees) 

Quand un message doit etre traite par un systeme Postfix, le passage oblige est la file incoming. 

Si le message est poste localement, il est depose dans un repertoire en acces « ecriture possible pour tout le monde ». Le 
demon pickup le traitera a partir de la. Ce demon procede a une premiere phase d'analyse des couriers (headers) afin de 
proteger le reste du systeme. 

Si le message provient d'un reseau, le message est traite par un serveur SMTP. Certaines regies de securite et de controles sont 
deja effectuees. 


31 .4. Pourquoi Postfix 
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Les messages peuvent etre generes par Postfix lui meme ou par un robot afin de prevenir 1'administrateur des erreurs, adresses 
introuvables, tentatives de violations des regies, problemes de protocoles... 

Les messages peuvent etre redistribues par des entrees dans les fichiers d'alias ou des fichiers . forward. 

Le demon cleanup represente la periode finale de traitement d'un message, notamment la verification de l'entete du message 
(completude user@fqdn), la reecriture d'adresse, le depot du message dans la file incoming, l'avertissement du gestionnaire de 
liste. 


31.5.2. Delivrer les messages 

Quand un message est arrive dans la file incoming, l'etape suivante consiste a le delivrer. Ceci est pris en charge par le 
gestionnaire de file qui est le coeur du systeme de Postfix. II contacte un agent (local, smtp, lmtp, pipe) charge de delivrer les 
messages en lui communiquant des parametres (localisation du message, nom/adresse de femetteur, nom(s)/adresse(s) du/des 
destinataires, machine hote de destination... 

Le gestionnaire de liste maintient une liste separee pour les courriers ne pouvant etre delivres immediatement (deferred). 

Les messages ne pouvant etre definitivement delivres (bounces) generent une trace d'information dans les journaux. 

Sur Linux, l'agent de traitement local des messages est le plus souvent procmail. II doit pouvoir traiter des structures de boites 
aux lettres conformes au standard Unix, utiliser les aliases, les redirections . forward... 

L'agent de traitement pour l’acheminement distant des messages s'appuie sur le protocole SMTP et utilise le port 25. 

Les differents demons sont actives « a la demande » par un super serveur (master daemon) un peu a la fagon d'inetd. 


31.5.3. Une fonction / un programme 

Chaque grande fonction de postfix est prise en charge par un programme independant. 

1. Lecture des messages locaux 

2. Reception SMTP 

3. Reecriture d'adresse 

4. Envoi SMTP 

5. Delivrance locale 

6. Traitement des erreurs (bounces) 

7. Gestion des files 


31.5.4. Apports en termes de securite : 

Cette option presente plusieurs avantages. 

1 . Decomposition = programmes plus petits et plus lisibles 

2. Plus difficile a casser ou circonvenir 

3. Chroot plus facile 

4. Les programmes ne se font pas confiance : isolation de chaque fonction 


31.5.5. Communication interprocessus par sockets Unix ou file (FIFO) 

1 . Portability aisee 

2. Messages courts dans les sockets 

3. Ne pas faire confiance aux donnees 


31.5.6. Semi residence 

1. Les demons sont reutilises et controles par un super demon « master » qui les cree a la demande. 

2. Nombre maximum pour chaque fonction : controle precis du fonctionnement, securite contre le « deni de 
service » (DOS) 

3. Temps d'inactivite parametrable 


31.5.7. Files d'attente multiples 

1. maildrop : messages locaux postes par sendmail 

2. incoming : messages en cours de reecriture et de nettoyage 

3. active : messages en cours ou en attente de transport 

4. deferred : messages en attente 

5. defer : arborescence d'attente (hachee pour eviter les trop gros repertoires — probleme dans Sendmail) 
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31.6. Configuration et fichiers de configuration de Postfix 

Les outils d'administration et de maintenance sont dans /usr/sbin. Voici les principaux. 

1 . postalias sert a maintenir la base de donnees des alias 

2. newaliases (/usr/bin) assure la compatibilite avec sendmail pour la base de donnes des alias 

3. postcat affiche le contenu des files d'attentes. 

4. postconf affiche les parametres de Postfix contenus dans fichier main . cf 

5. postlog, sert a gerer les logs (realisation de scripts) 

6. postqueue, permet de gerer et administer les files d'attentes. 

Les journaux (logs) sont dans /var/log 


31.6.1. Configuration - extrait du fichier /etc/postfix/master .cf 

II definit les demons a lancer, leur nombre et les « transports » 


v 

# service 

# 

type 

private unpriv 
(yes) (yes) 

chroot wakeup 
(yes) (never) 

maxproc 

(50) 

command args 

smtp 

inet 

n - 

y 

- 

smtpd 

smtps 

inet 

n - 

y 

- 

smtpd \ 


-o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes 

submission inet 

n - 

y 

- 

smtpd \ 


-o smtpd_enf orce_tls : 

=yes -o smtpd_sasl_auth_ 

enable=yes 

pickup 

f if o 

n n 

y 60 

i 

pickup 

cleanup 

unix 

- 

y 

0 

cleanup 

qmgr 

f if o 

n - 

y 300 

1 

qmgr 

#qmgr 

f if o 

n - 

y 300 

1 

nqmgr 

tlsmgr 

f if o 

- 

y 300 

1 

tlsmgr 

rewrite 

unix 

- 

y 

- 

trivial-rewriti 

bounce 

unix 

- 

y 

0 

bounce 

defer 

unix 

- 

y 

0 

bounce 

flush 

unix 

- 

y 1000? 

0 

flush 

smtp 

unix 

- 

y 

- 

smtp 

showq 

unix 

n - 

y 

- 

showq 

error 

unix 

- 

y 

- 

error 

local 

unix 

- n 

n - 

- 

local 

virtual 

unix 

- n 

n - 

- 

virtual 

lmtp 

unix 

- 

n - 

- 

lmtp 


31.6.2. Le fichier de configuration /etc/postfix/main.cf 

Si postfix n'a pas ete prealablement configure, vous n’avez pas de fichier de configuration main . cf . Vous pouvez utiliser la 
commande : 

dpkg-reconf igure postfix 


Utilisez les parametres suivants pour une configuration minimale 

#$NOM_MACHINE est le nom d'hote de votre machine 
local only 
$ N OM_MAC H I NE 

Append Domain no 

Destination $ N OM_MAC H I NE 

Local Network 127.0.0.0/8 

Use Procmail Yes 

Siez Mail Box 0 

Char Def Local Adress + 


Le fichier main . cf contient tous les parametres de postfix. Ceux-ci peuvent etre affiches avec la commande postconf. 
Voici un exmple de main . cf que vous pourrez reutiliser pour les TP 


# Vous avez un fichier complet et commente 

# /us r/ share /post fix /main . cf . dist 

command_directory = /usr/sbin 
daemon_directory = /usr/lib/post f ix 
program_directory = /usr/lib/post fix 

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) 
setgid_group = postdrop 
biff = no 

2bounce_notice_recipient = postmaster 

# appending .domain is the MUA's job. 
append_dot_mydomain = no 
myhostname = NomHote.foo.org 


31 .6. Configuration et fichiers de configuration de Postfix 
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mydomain = foo.org 

mydestination = $myhostname, localhost . $mydomain $mydomain 
myhostname = NomHote.foo.org 
myorigin = $mydomain 
myorigin = /etc/mailname 

alias_maps = hash : /etc/aliases 
alias_database = hash : /etc/aliases 

# /etc/mailname contient 1' equivalent de $MYHOSTNAME 

mynetworks = 127.0.0.0/8 192.168.0.0/24 
mailbox_command = procmail -a " $EXTENSION M 
mailbox_size_limit = 0 
recipient_delimiter = + 
relay_domains = $mydestination 
relayhost = $mydomain 

smtpd_recipient_restrictions = permit_mynetworks , check_relay_domains 


Pour une configuration initiale remplir myhostname, mydomain, myorigin, mydestination, relayhost. 


31.6.3. Le fichier de configuration des aliases /etc/aliases 

II sert a la creation des aliases, par exemple jean.dudognon sera l'alias du compte systeme jddgn. Le courrier sera adresse a 
jean.dudognon@domaine.dom, mais sera delivre dans la boite du compte jddgn, c'est a dire physiquement dans 

/var/ spool /mail/ jddgn. 

Le fichier /etc/postfix/aliases est de type texte. C’est celui-ci que vous modifiez. Apres chaque modification du 
fichier source utiliser la commande newaliases ou postaliases hash : /etc/postfix/aliases qui met a jour le fichier de 
bases de donnees /etc/postfix/aliases . db. 


31.6.4. Surveillance et maintenance de postfix 

La maintenance est realisee a l'aide des commandes externes. Autrement les transactions sont journalisees par le demon 
syslogd. 

Oct 31 11:23:26 uranus postfix/master [2745] : daemon started 

uranus postf ix/smtpd [2753 ] : connect from unknown [ 1 92 . 1 68 . 1 . 1 ] 
uranus postf ix/smtpd [2753] : 82BF05769B: client=unknown [ 1 92 . 1 68 . 1 . 1 ] 
uranus postf ix/cleanup [2754 ] : 82BF05769B: 

message-id=<2 0011 031 1024 53 . 82BF05769B@uranus . f oo . org> 
uranus postf ix/qmgr [2749] : 82BF05769B: 

f rom=<mlx@f oo . org>, size=318, nrcpt=l (queue active) 
uranus postf ix/local [2756] : 82BF05769B: 

to=<mlx@f oo . org>, relay=local, delay=94, 
status=sent ( " | /usr/bin/procmail /etc/procmail . re" ) 
uranus postf ix/smtpd [2753 ] : disconnect from unknown [ 1 92 . 1 68 . 1 . 1 ] 


31.7. Structure des messages 

Un messages est schematiquement compose de deux parties, une entete et un corps. Ces deux parties sont separees par une 
ligne blanche. 


L' entete est 

- FROM: 

- TO: 

- CC: 

- BCC : 

- REPLY-TO: 

- ERROR-TO: 

- DATE: 

- RECEIVED 

- MESSAGE-ID 

- SUBJECT: 


decoupee ainsi : 
expediteur 
destinaire (s) 
copie a 

copie aveugle 
adresse de reponse 
adresse en cas d 'erreurs 
date expedition 
informations de transferts 
identif icateur unique de msg 
su jet 


31.8. Le dialogue entre le client et le serveur 

Le dialogue est defini par le protocole SMTP selon un schema client/serveur. Sur le client, un demon (programme sendmail ou 
smtpd par exemple) attend les requetes TCP sur le port 25 d'un client (le programme mail par exemple). Le dialogue est en 
ASCII. Pour tester utilisez la commande telnet Serveur_SMTP 25 ou encore sendmail -v -bs. 

Exemple de dialogue : la chaine « »> » n'apparait pas, c’est juste pour distinguer les commandes client. 

[mlxQuranus mix] $ telnet localhost 25 
Trying 127 .0.0.1... 

Connected to localhost . localdomain (127.0.0.1). 

Escape character is ,A ]'. 

220 uranus.foo.org ESMTP Postfix 
>>> EHLO uranus 
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250-uranus . f oo . org 
250-PIPELINING 
250-SIZE 10240000 
250-ETRN 
250 8BITMIME 

>>> MAIL FROM: <mlx@uranus . f oo . org> 

250 Ok 

>>> RCPT TO : <mlx@f oo . org> 

250 Ok 
>»DATA 

354 End data with <CR><LF> . <CR><LF> 
Message de test 

250 Ok: queued as C21B15769B 
»> QUIT 
221 Bye 

Connection closed by foreign host. 

You have new mail in /var/spool/mail/mlx 
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Le service POP - Postoffice Protocole est utilise par les logiciels clients (netscape, Eudora, Outlook...) pour relever le courrier 
sur les serveurs de messagerie. Le client pop utilise un couple Nom d'utilisateur/mot de passe pour la phase 
identification/authentification par le serveur. Le service pop3d reste en ecoute sur le port 110. 11 est generalemnt lance par le 
demon inetd ou xinetd. Pour activer le service pop3 il suffit de decommenter la ligne correspondante dans le fichier 
/etc/inetd . conf . Void des exemples de lignes que vous pouvez avoir dans votre fichier inetd . conf : 


#:MAIL: Mail, news and uucp services. 


imap2 

stream 

tcp 

nowait 

root 

imaps 

stream 

tcp 

nowait 

root 

pop3 

stream 

tcp 

nowait 

root 

pop3s 

stream 

tcp 

nowait 

root 


#imaps stream tcp nowait root 

/usr/sbin/sslwrap 
#pop3s stream tcp nowait root 

/usr/sbin/sslwrap 


/usr/sbin/tcpd /usr/sbin/imapd 
/usr/sbin/tcpd /usr/sbin/imapd 
/usr/sbin/tcpd /usr/sbin/ipop3d 
/usr/sbin/tcpd /usr/sbin/ipop3d 
/usr/sbin/tcpd \ 

-nocert -addr 127.0.0.1 -port 143 
/usr/sbin/tcpd \ 

-nocert -addr 127.0.0.1 -port 110 


ou d' activer le service « disable = no » dans /etc/xinetd . d/pop3, si vous utilisez xinetd. d. 


31.10. IMAP ( Internet Message Access Protocol) 

Pop a ete con£u pour la consultation « hors ligne », (offline). IMAP permet la consultation hors ligne, mais egalement 
« en ligne », selon un processus interactif entre le client et le serveur. Les messages ne sont plus rapatries sur le client. Ils 
restent en depot sur le serveur jusqu'a ce que l'utilisateur demande explicitement la suppression ou le transfert. 

Ce precede est particulierement interessant pour les utilisateurs mobiles. Ils peuvent consulter leur messages a partir de 
machines ou de lieux non definis a l'avance. 

Comme la connexion au serveur est permanente pendant la duree du traitement, il presente l'inconvenient d'un surcout financier 
du a la liaison telephonique. 

Ces services utilisent des protocoles/ports differents. Ils peuvent cohabiter simultanement sur le meme serveur. Un utilisateur 
peut utiliser selon ses besoins fun ou l'autre des services POP ou IMAP. 

Vous devrez installer et configurer sur les postes clients, un client IMAP (Netscape messenger, Kmail...). 

Des logiciels d’interface sur le serveur comme IMP (www.imp.org), permettent de transformer le serveur IMAP en serveur 
« webmail ». Les clients pourront alors utiliser n’importe quel navigateur pour consulter leur boite aux lettres. Le CRU, 
(Comite Reseau des Universites - www.cru.fr), a fait une etude sur les principaux produits qui pouvaient etre utilises. 


31.11. Remarques sur pop3 et imap 

Les ports utilises par les services pop3, pop3s, imap, impas, sont declares dans le fichiers /etc/ services. Voici ce que 
donne le lancement d’inetd : 


root @knoppix : /home/knoppix# netstat -atup | grep LISTEN 


tcp 

0 

0 

* : imaps 

k • k 

LISTEN 

376/ inetd 

tcp 

0 

0 

* :pop3s 

k • k 

LISTEN 

376/ inetd 

tcp 

0 

0 

* :pop3 

k • k 

LISTEN 

376/ inetd 

tcp 

0 

0 

* : imap2 

k • k 

LISTEN 

376/ inetd 


Dans un soucis de securite, les applications recentes ne supportent plus les transactions « en clair » sur le reseau. Cela 
signifie que les applications sont compilees pour utiliser les protocoles d’encryptage TLS/SSL. Vous devrez en tenir compte 
dans la configuration de vos clients et vous utiliserez pop3s et imaps. 

Pour en s avoir plus, vous pouvez consulter : 


/ usr/ share/doc/ipopd/README . Debian 
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/usr /share /doc/ libc-client2 0 03debi an /README . Debian 
/ usr/share/doc/libc-client2003debian/md5 . 
/usr/share/doc/libc-client2002/md5 . txt 
/usr/share/doc/libc-client2003debian/ imaprc . txt 


Chapitre 32. Travaux pratiques : configuration d'un systeme 
de messagerie 

Les protocoles SMTP, POP et IMAP - TP 

Les protocoles SMTP, POP et IMAP - TP 


Comment installer un serveur SMTP, un client IMAP et un client POP3 


32.1. Installation de postfix 

Vous allez installer successivement : 

1 . le serveur de messagerie postifx puis tester son fonctionnement, 

2. un serveur de remise de courrier pop3 et imap 

3. un client pop3 et imap puis tester son fonctionnement. 

Pour imap on utilisera uw-imapd/uw-imapd-ssl, pour pop3, on utilisera ipopd. Pour les preconfigurer vous utiliserez les 
commandes : 

dpkg-reconf igure uw-imapd 
dpkg-reconf igure ipopd 

Vous selectionnerez pop3 et pop3/ssl, imap4 et imap/ssl. Attention pour imap4, c'est imap2 qu’il faut selectionner. C’est bizarre 
mais c'est comme 9 a ;-) imap3 est devenu obsolete. 

La procedure de configuration, genere des certificats dans /etc/ssl/ certs/ 


32.2. DNS - preparation prealable 

Vous allez deja preparer votre serveur de nom. Le serveur de nom primaire sera egalement serveur SMTP (enregistrement MX 
- Mail eXchanger). Si votre serveur de nom s’appelle nsl, rajouter les enregistrements suivants dans le fichier de 
configuration de votre zone : 

# On definit la machine qui achemine le courrier pour 

# user@nsl.VotreDomaine.Dom 

@ IN MX 10 nsl . VotreDomaine . Dom 

#0n definit un alias pour le courrier envoye a 
mail IN CNAME nsl 

#0n definit un alias pour le courrier envoye a partir de 
smtp IN CNAME nsl 

#0n definit un alias pour le serveur pop et pour imap 
pop IN CNAME nsl 

imap IN CNAME nsl 

Relancer le service dns. Les commandes suivantes doivent fonctionner a partir d’un client du domaine : 

ping nsl .VotreDomaine . Dom 
ping smtp .VotreDomaine . Dom 
ping mail .VotreDomaine . Dom 
ping pop .VotreDomaine . Dom 
ping imap .VotreDomaine . Dom 


32.3. Configuration du serveur postifx. 

Vous allez successivement configurer un serveur SMTP Postifx, tester la configuration, installer les serveur pop et imap, tester 
le fonctionnemnt de l’ensemble. 


32.3.1. Installation du serveur SMTP 

Configurer votre machine pour un service minimum (pas de liste, pas de reecriture d’adresse...). 

Utilisez fexemple de configuration de main . cf et la liste des variables a configurer donnes dans la fiche de cours, afin de 
mettre en place un service minimum. 

Activez le service avec la commande /etc/init . d/postfix start. Verifiez le bon demarrage du serveur dans le 
fichier de log et dans la table des processus (ps axf). Vous devriez obtenir quelque chose comme : 
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2745 

7 

s 

0:00 

2748 

? 

s 

0:00 

2749 

7 

s 

0:00 

2750 

7 

s 

0:00 


/usr/ lib /post fix /master 
\_ pickup -1 -t fifo -c 
\_ qmgr -1 -t fifo — u — c 
\_ tlsmgr -1 -t fifo -u -c 


Verifiez egalement les traces dans le fichier de journalisation. 


32.3.2. Test de la configuration du serveur SMTP 

Creez sur la machine locale deux comptes systemes pour les tests, cptl et cpt2 par exemple. 

Ouvrez une session sous le compte cpt 1 afin de realiser un envoi de mail pour cpt2. 

Lancez une transaction telnet VotreServeur 25, et realisez un dialogue similaire a celui decrit en TD. Le message doit 
etre delivre dans la boite de cpt 2. Utilisez la commande ps axf pour voir le chargement des differents demons. 

Relisez l'operation a l'aide du programme mail. Verifiez que le message est bien delivre. 

Avant de terminer la transaction, identifiez la session avec la commande netstat : 


netstat -atup | grep ESTABLISHED 


32.3.3. Installation du serveur PostOFFICE Pop3 

La configuration du service pop est des plus simple. II est meme possible qu'il soit deja actif. Decommentez la ligne dans le 
fichier /etc/inetd. conf ou utilisez dpkg-reconfigure. 

Verifier le fichier /etc/ inetd . conf, relancez au besoin le service inetd. 


# Pop and imap mail services 

Avec xinet, la configuration est dans /etc/xinetd . d. Editez les fichiers correspondant aux differents services. Par exemple 
le fichier /etc/xinetd. d/pop3s. 


# default: off 

# The P0P3S service allows remote users to access their mail \ 

# using an POP3 client with SSL support such as fetchmail. 


service pop3s 
{ 

socket_type 

wait 

user 

server 

log_on_success 

log_on_failure 

disable 

} 


= stream 
= no 
= root 

= /usr/sbin/ipop3d 
+= USERID 
+= USERID 
= no 


Dans inetd . conf, decommentez la ligne. Dans xinetd, mettez la variable disable a no. 
Relancer le service inetd ou xinetd, verifiez l'ouverture des ports avec la commande netstat. 
Identifiez les numeros de ports des services dans le fichier /etc/ services. 


32.3.4. Test du serveur Pop3 

Vous allez realiser l'operation a partir de la machine locale et d'une machine distante. La resolution de nom doit fonctionner, 
sinon utilisez les adresses IP. Vous utiliserez kmail ou le client de messagerie de Mozilla. 


1. Sur la machine locale qui est votre serveur SMTP et serveur POP3, configurez le client de messagerie avec les 
parametres suivants : 


Serveur smtp : Nom de votre serveur 

Serveur POP : Nom de votre serveur POP 

Votre compte d ' utilisateur 

Votre mot de passe 

Testez l'envoi et la reception de message. 

Renseignez bien le numero de port. Dans kmail, l'onglet extras vous donne acces a un bouton tester ce que le serveur 
peut gerer, et va vous renseigner sur le support de ssl ou tls du serveur. 


32.3.2. Test de la configuration du serveur SMTP 
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Avec un client pop, les messages sont, par defaut, telecharges depuis le serveur sur le client. La procedure supprime 
les fichiers telecharges sur le serveur. Cette option est configurable sur la majorite des clients. 

Verifiez que les fichiers sont bien supprimes sur le serveur. 

Reiterez l'envoi de message en mettant un fichier attache (par exemple un fichier xls). Verifier et relevez la 
description MIME du message. 

2. Sur un client configurez Nestcape Messenger avec les parametres suivants : 

Serveur smtp : Nom de votre serveur (Machine distante) 

Serveur POP : Nom de votre serveur POP3 (Machine distante) 

Votre compte d ' utilisateur 
Votre mot de passe 

Testez l'envoi et la reception de message. 

Identifiez les transactions dans le fichier de log. 


32.3.5. Utilisation des alias 

Creez un compte utilisateur pn, 

Creez un alias prenom . nom pour ce compte systeme dans le fichier /etc/aliases. 
Mettez a jour le fichier /etc/aliases/db. 

Verifiez que les messages envoyes a : 

pn@votredomaine ou prenom.nom@votredomaine doivent tous etre correctement delivres. 


32.3.6. Utilisation des listes 

Ouvrez a l'aide d'un editeur le fichier /etc/aliases 
Creez une liste de la fagon suivante : 

maliste: cptl, cpt2 

Enregistrez et regenerez le fichier aliases, db 

Envoyez un message a maliste@foo.org, verifiez que tous les membres de la liste ont bien rccu le message. 

32.3.7. La gestion des erreurs 

Certaines erreurs « systemes » sont geres par un compte particulier « MAILER_DAEMON ». Ce compte est en 
general un alias vers postmaster, qui, lui meme redirige sur le compte de 1'administrateur en fonction. II agit commem un 
« robot » notamment quand un message ne peut etre delivre. 

Procedure de test 

Envoyez un message a QuiNexistePas@foo.org 

Relevez vos nouveau messages. Normalement, vous etes averti que votre message n'a pas pu etre delivre. 

32.3.8. Mise en place du service IMAP sur le serveur 

La mise en oeuvre est identique a celle du service Pop3. Configurer le fichier inetd . conf ou le fichier 
/etc/xinetd. d/imap. Relancer le service serveur (inetd ou xinetd). 

Vous allez tester le bon fonctionnement de votre serveur : la commande ps aux | grep imap ne donne rien car le 
serveur imap est lance « a la demande » par le serveur inetd ou xinetd. 

Par contre la commande netstat -a | grep LISTEN | grep imap montre bien qu’un port est bien ouvert en 
« ecoute ». 

tcp 0 0 * : imap *:* LISTEN 

Saisissez la commande telnet DeVotreServeurlmap 143 pour activer le service imap. Le serveur doit repondre : 

Trying 127 .0.0.1... 

Connected to localhost. 

Escape character is ,A ]'. 

* OK [CAPABILITY IMAP 4 IMAP4REV1 STARTTLS LOGIN-REFERRALS AUTH=LOGIN] \ 

uranus.foo.org IMAP4revl 2000.287rh at Sat, 17 Nov 2001 14:14:42 +0100 (CET) 
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Dans une autre session xterm, la commande ps aux | grep imap montre mainetant que le service est maintenant bien 
dans la liste des processus : 

root 11551 0.0 1.1 3664 1448 ? S 14:14 0:00 imapd 

et la commande ps axf 

231 ? S 0:00 /usr/sbin/inetd 

315? S 0:00 \_ imapd 

montre bien que le processus imapd depend (est fils de) inetd. 


32.3.9. Plus loin dans le decryptage 

La commande net stat a | grep imap donne l'etat d'une connexion etablie entre un client et le serveur.Socket client 
TCP sur le port 1024 


top 

top 

top 

top 


0 

0 

0 

0 


0 * : imaps 
0 * : imap2 
0 knoppix : imap2 
0 knoppix : 1025 


■k • * 
k • -k 

knoppix : 1025 
knoppix : imap2 


LISTEN 

LISTEN 

ESTABLISHED 

ESTABLISHED 


La commande fuser 1025/tcp utilise le pseudo-systeme de fichiers d'informations sur les processus /proc pour 
identifier « QUI » utilise la connexion tcp sur le port 1025. 

root@knoppix : /home/knoppix# fuser 1025/tcp 
1025/tcp: 364 


La commande Is -1 /proc/364 donne les indications sur le programme qui utilise cette connexion et montre que c'est une 
commande telnet qui a declenche le processus. 

root@knoppix : /home/knoppix# Is -al /proc/364 


total 0 

dr-xr-xr-x 3 knoppix knoppix 0 2003-04-16 15:06 . 

dr-xr-xr-x 49 root root 0 2003-04-16 16:52 .. 

-r — r — r — 1 knoppix knoppix 0 2003-04-16 15:06 cmdline 

-r — r — r — 1 knoppix knoppix 0 2003-04-16 15:06 cpu 

lrwxrwxrwx 1 knoppix knoppix 0 2003-04-16 15:06 cwd -> /home/knoppix 

-r 1 knoppix knoppix 0 2003-04-16 15:06 environ 

lrwxrwxrwx 1 knoppix knoppix 0 2003-04-16 15:06 \ 

exe -> /usr/bin/telnet-ssl 

dr-x 2 knoppix knoppix 0 2003-04-16 15:06 fd 

-r — r — r — 1 knoppix knoppix 0 2003-04-16 15:06 maps 

-rw 1 knoppix knoppix 0 2003-04-16 15:06 mem 

-r — r — r — 1 knoppix knoppix 0 2003-04-16 15:06 mounts 

lrwxrwxrwx 1 knoppix knoppix 0 2003-04-16 15:06 root -> / 

-r — r — r — 1 knoppix knoppix 0 2003-04-16 15:06 stat 

-r — r — r — 1 knoppix knoppix 0 2003-04-16 15:06 statm 

-r — r — r — 1 knoppix knoppix 0 2003-04-16 15:06 status 


et voir la commande qui a active cette connexion more /proc/364 /cmdline qui retourne telnet localhost 14 3. 


32.3.10. Mise en place du client IMAP 

Utilisez Mail & NewsGroup de Mozilla ou kmail par exemple. Dans Mail & News Group, allez dans le menu de configuration 
(Edit) et ajoutez un compte. Prenez un compte imap. 

Completez la configuration de votre client de messagerie 

Ouvrez l'application Messenger, testez l'utilisation du client IMAP. 


32.3.11. Le relayage 

Utiliser le « relayage » consiste pour un client A a utiliser le service serveur SMTP d’un domaine B pour inonder de 
messages ( spammer ) des boites aux lettres. Les serveurs sont generalement configures pour empecher le relayage. Dans 
Postifx, cette option est configuree par defaut. 

Le relayage pose plusieurs problemes. Remplissage des boites aux lettres sans f accord des destinataires, utilisation des 
ressources disques et CPU a l’insu des societes qui relaient les courriers... 

Afin de combattre un peu le phenomene, une societe qui relai les messages peut se voir « black listee », c’est-a-dire 
inscrite dans une liste noire referencee. II existe plusieurs sites refcrcncant ces listes noires. Certains de ces messages ne seront 
plus distribues. Voir pour cela, http://mail-abuse.org/rbl/, page principale de MAPS ( Mail Abuse Prevention System LLC) 
RBLSM ( Realtime Blackhole List). 

II est possible d’utiliser ces bases de donnees pour empecher le relayage, ou refuser de delivrer les messages d’un site « black 
liste ». 


32.3.9. Plus loin dans le decryptage 
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maps_rbl_domains = rbl.maps.vix.com 
maps_rbl_re ject_code = 554 
re ject_maps_rbl 

Vous allez activer la fonction de relayage sur votre serveur et tester son comportement. Modifiez la ligne : 

relay_domains = $mydestination 


par 

relay_domains = $mydestination, domainel . dom, domaine2 . dom. . . 

ou domainel. dom, domaine2.dom... represented les differents domaines de votre salle de TP. Relancer les services serveurs. 

Vous pouvez maintenant a partir d'un client, utiliser le serveur smtp d'un autre domaine pour vous en servir comme « agent 
de relai » et envoyer des messages aux utilisateurs des autres domaines. 


32.3.12. Autres techniques de filtrage et autres services de postfix 

Le fichier de configuration main . cf, permet de filtrer sur les entetes de messages (grep) sous sur le contenu (body). Ces 
outils permettent dans certains cas de limiter le spam. 

Le serveur postfix.org tient a jour des produits complementaires qui permettent de mettre en place des antivirus, des outils de 
filtrage de spam ou des outils de type web-mail. 


Chapitre 33. Installation d'un serveur DDNS avec bind et 
DHCP 

Le DNS dynamique 

Le DNS dynamique 


33.1. Resume 

DHCP offre la possibility de mettre a jour dynamiquement le systeme de resolution de nom. 

II s'agit, dans cette application, de faire cohabiter et faire fonctionner ensemble le service de resolution de nom bind et le 
service dhcp. 

L'environnement a ete teste sur une distribution debian, avec bind9 et dhcp3. 

Vous devez savoir configurer un serveur DHCP, un serveur de nom, avoir compris le fonctionnement de rndc et des cles 
partagees, de dig. 

Pour les amateurs d' ASCII-art, void un schema qui decrit les processus mis en oeuvre. 


I DHCP |_ 
I I 

/ I \ I / I \ I 

1 ! 2 5 | 6 ! 

I \ I / I \ I / 

I I 

| Client | 


13 |4 

\ | / \ 1 / 


| DNS 


(1) DHCPDISCOVER from 00 : 08 : c7 : 25 : bf : 5a (saturne) via ethO 

(2) DHCPOFFER on 192.168.0.195 to 00 : 08 : c7 : 25 : bf : 5a (saturne) via ethO 

(3) Added new forward map from saturne.freeduc-sup.org to 192.168.0.195 
Ajout de 1 ' enregistrement de type A 

(4) added reverse map from 195 . 0 . 168 . 192 . in-addr . arpa to saturne.freeduc-sup.org 
Ajout de 1 ' enregistrement de type PTR 

(5) DHCPREQUEST for 192.168.0.195 (192.168.0.1) from 00 : 08 : c7 : 25 : bf : 5a (saturne) via ethO 

(6) DHCPACK on 192.168.0.195 to 00 : 08 : c7 : 25 : bf : 5a (saturne) via ethO 

Les operations 1, 2, 5, 6 ont deja ete vues lors de l'etude du service DHCP. On voit en etudiant le « log » ci-dessus, que 
finscription dans le DNS d'un client se fait avant l'acceptation du bail et l'inscription finale de ce client (DHCPACK). 
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Dans cette application, vous installerez successivement le serveur de nom, le serveur dhcp, puis vous ferez les manipulations 
qui permettent 1'integration. 


33.2. Elements sur le service DDNS 

Tout est decrit dans las pages de man de dhcpd . conf . 

Deux fagons de faire sont decrites (ad-hoc et interim) et une troisieme est en cours d'elaboration. La methode ad-hoc n'est 
semble t-il plus supportee par les paquets, du moins elle ne Test pas avec le paquet dhcp3 de debian que j'utilise car consideree 
comme obsolete. 

Le processus utilise est defini par la variable ddns-updates-style. Si la mise a jour n'est pas dynamique, la variable 
prend la valeur none, nous, nous utiliserons interim. 

La methode « ad-hoc » ne prend pas en charge le protocole failover des DHCP. C'est a dire qu'avec cette methode 
vous ne pourrez pas avoir 2 serveurs DHCP assurant un systeme redondant et mettant a jour un meme ensemble 
d'enregistrements DNS. 

Le serveur determine le nom du client en regardant d'abord dans les options de configuration des noms (ddns-hostname). II est 
possible de generer dynamiquement un nom pour le client en concatenant des chaines « dyn+N°+NomDeDomaine ». S'il 
ne trouve rien, il regarde si le client lui a fait parvenir un nom d'hote. Si aucun nom n'est obtenu, la mise a jour du DNS n'a pas 
lieu. 

Pour determiner le nom FQDN, le serveur concatene le nom de domaine au nom d'hote du client. 

Le nom du domaine lui, est defini uniquement sur le serveur DHCP. 

Actuellement le processus ne prend pas en charge les clients ayant plusieurs interfaces reseau mais cela est prevu. Le serveur 
met a jour le DNS avec un enregistrement de type A et un enregistrement de type PTR pour la zone reverse. Nous verrons 
qu'un enregistrement de type TXT est egalement genere. 

Quand un nouveau bail est alloue, le serveur cree un enregistrement de type TXT qui est une cle MD5 pour le client DHCP 
(DHCID). 

La methode interim est le standard. Le client peut demander au serveur DHCP de mettre a jour le serveur DNS en lui 
passant ses propres parametres (nom FQDN). Dans ce cas le serveur est configure pour honorer ou pas la demande du client. 
Ceci se fait avec le parametre ignore client-updates ou allow client-updates. 

Par exemple, si un client jschmoe . radish . org demande a etre inscrit dans le domaine exemple . org et que le serveur 
DHCP est configure pour, le serveur ajoutera un enregistrement PTR pour l'adresse IP mais pas d'enregistrement A. Si l'option 
ignore client-updates est configuree, il y aura un enregistrement de type A pour jschmoe . exemple . org. 


33.3. Les aspects sur la securite 

Le serveur DNS doit etre configure pour pouvoir etre mis a jour par le serveur DHCP. La methode la plus sure utilise les 
signatures TSIG, basees sur une cle partagee comme pour le programme d'administration des serveurs de nom rndc. 

Vous devrez en creer une. Pour cela utiliser les elements fourths dans la partie traitant de bind. Ces aspects y ont deja ete 
abordes. 

Par exemple dans le fichier named . conf, le serveur DHCP disposant de la cle DHCP_UPDATER, pourra mettre a jour la 
zone directe et la zone reverse pour lesquelles la declaration allow-update existe. 

Description du fichiers named .conf : 

key DHCP_UPDATER { 

algorithm HMAC-MD5 . SIG-ALG . REG . INT; 
secret pRP5FapFo J95 JELO 6sv4PQ==; 


zone "example.org" { 
type master; 
file "example . org . db" ; 
allow-update { key DHCP_UPDATER; }; 


zone " 17 . 10 . 1 0 . in-addr . arpa " { 
type master; 
file "10. 10.17. db"; 

allow-update { key DHCP_UPDATER; }; 


Dans le fichier de configuration du serveur DHCP vous pourrez mettre : 

key DHCP_UPDATER { 


33.2. Elements sur le service DDNS 
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algorithm HMAC-MD5 . SIG-ALG . REG . INT; 
secret pRP5FapFo J95 JELO 6sv4PQ==; 


zone EXAMPLE.ORG. { 

primary 127.0.0.1; # Adresse du serveur de noms primaire 
key DHCP_UPDATER; 

} 


zone 17 . 127 . 1 0 . in-addr . arpa . { 

primary 127.0.0.1; # Adresse du serveur de noms primaire 
key DHCP_UPDATER; 

} 


La cle DHCP_UPDATER declaree pour une zone dans le fichier dhcpd . conf est utilisee pour modifier la zone si la cle 
correspond dans le fichier named . conf. 

Les declarations de zone doivent correspondre aux enregistrement SOA des fichiers de ressources des zones. 

Normalement il n'est pas obligatoire d’indiquer l’adresse du serveur de nom primaire, mais cela peut ralentir le processus 
description des enregistrements, voire meme ne pas fonctionner, si le serveur de nom n’a pas repondu assez vite. 


Chapitre 34. Travaux pratiques : DDNS 

34.1. Realisation 

Vous allez realiser l’operation avec un client windows 2000 serveur et un client Linux. Le serveur Linux sera egalement 
serveur de nom. 

Vous pouvez utiliser les exemples de fichiers fournis. Vosu aurez bien sur a les adapter a votre configuration. Voici comment 
vont se derouler les etapes : 

1 . Installation du serveur de nom et test 

2. Installation du serveur DHCP et test 

3. Integration des deux services 

Nous verrons a la fin comment generer des noms dynamiquement pour les clients. 


34.2. Les fichiers de configuration 

Dans les fichiers il y a des lignes qui sont en commentaries avec ###, elles seront decommentees pour la phase d’integration 
des services 


34.2.1. Le fichier named, conf 

// Pour journaliser, les fichiers doivent crees 
logging { 

channel update_debug { 

file " /var/log/log-update-debug . log" ; 
severity debug 3; 
print-category yes; 
print-severity yes; 
print-time yes; 

}; 

channel security_inf o { 

file " /var/log/log-named-auth . info" ; 
severity info; 
print-category yes; 
print-severity yes; 
print-time yes; 

}; 


category update { update_debug; }; 
category security { security_info; }; 


// cle partagee entre bind, rndc et dhcp 
include " /etc/bind/mykey " ; 

options { 

directory " /var/cache/bind" ; 
query-source address * port 53; 
auth-nxdomain yes; # conform to RFC1035 
forwarders { 127.0.0.1; 192.168.0.1;}; 


// Autorisations rndc sur la machine, 
controls { 

inet 127.0.0.1 allow {any;} keys {mykey;}; 
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inet 192.168.0.0 allow {any;} keys {mykey;}; 

}; 


zone " . " { 

type hint; 

file " /etc/bind/db . root " ; 

} ; 


zone "localhost" { 

type master; 

file "/etc/bind/db . local" ; 

}; 

zone " 127 . in-addr . arpa" { 
type master; 

file " /etc/bind/db . 127 " ; 

}; 

zone " 0 . in-addr . arpa" { 
type master; 
file "/etc/bind/db . 0 " ; 

} ; 

zone " 255 . in-addr . arpa " { 
type master; 

file "/etc/bind/db . 255" ; 

}; 

zone "freeduc-sup.org" { 
type master; 

file "/ etc /bind/ freeduc-sup . or g . hosts" ; 

// Sert a la mise a jour par DHCP 

// Sera decommente lors de 1 ' integration des services 
### allow-update { key mykey; }; 

}; 

zone " 0 . 1 68 . 1 92 . in-addr . arpa" { 
type master; 

file "/ etc /bind/ freeduc-sup . or g . hosts . rev" ; 

// Sert a la mise a jour par DHCP 

// Sera decommente lors de 1 ' integration des services 
### allow-update { key mykey; }; 

}; 


34.2.2. Le fichier de zone directe 




$ORIGIN . 

$TTL 86400 ; 1 

day 





freeduc-sup . org 

IN SOA 

master.freeduc-sup.org. root.freeduc-sup.org. ( 



2004050103 

; serial 





10800 

; refresh (3 hours) 





3600 

; retry (1 hour) 





604800 

; expire (1 week) 





38400 

; minimum (10 hours 

40 

minutes ) 


NS 

) 

master . freeduc-sup . org . 




MX 

10 master. 

freeduc-sup . org . 



$ORIGIN freeduc-sup. 

org . 





master 

A 

192.168.0. 

1 



WWW 

CNAME 

master 




34.2.3. Le fichier de zone in-addr . arpa 



$ORIGIN . 

$TTL 86400 ; 1 

day 





0 . 1 68 . 1 92 . in-addr . arpa IN SOA 

master.freeduc-sup.org. root.freeduc-sup.org. ( 



2004050103 

; serial 





10800 

; refresh (3 hours) 





3600 

; retry (1 hour) 





604800 

; expire (1 week) 





38400 

; minimum (10 hours 

40 

minutes ) 


NS 

) 

master . freeduc-sup . org . 



$ORIGIN 0 . 1 68 . 1 92 . in-addr . arpa . 





i 

PTR 

master . freeduc-sup . org . 




34.2.4. Le fichier rndc . conf 


include " /etc/bind/mykey " ; 
options { 

default-server localhost; 
default-key "mykey"; 

} ; 


34.2.2. Le fichier de zone directe 
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server localhost { 

key "mykey"; 

}; 


34.2.5. Le fichier de cle partagee 

Ici il est nomme mykey. 

key "mykey" { 

algorithm hmac-md5; 

secret "X/ErbPNOiXuC8MIgTX6iRcaq/ lOFCEDIlxrmnf PgdqYIOY3U61sgDMql5 jnxXEXmdGvvlg/ayYtAA7 3bUQvWBw==" ; 

} ; 


34.2.6. Le fichier dhcpd. conf 


ddns-update-style none; 

### ddns-update-style interim; 

### deny client-updates; 

### ddns-updates on; 

### ddns-domainname "freeduc-sup.org"; 

### ddns-rev-domainname " in-addr . arpa" ; 

authoritative; 


subnet 192.168.0.0 netmask 255.255.255.0 { 
option broadcast-address 192.168.0.255; 
option routers 192.168.0.2; 
option domain-name "freeduc-sup.org"; 
option domain-name-servers 192.168.0.1; 
option broadcast-address 192.168.0.255; 
option routers 192.168.0.2; 
range 192.168.0.100 192.168.0.195; 
default-lease-time 600; 
max-lease-time 7200; 


# Instructions pour la mise a jour des zones 
### include " /etc/bind/mykey " ; 

### zone freeduc-sup.org. { 

### primary 192.168.0.1; 

### key mykey; 

### } 


### zone 0 . 168 . 192 . in-addr . arpa . { 
### primary 192.168.0.1; 

### key mykey; 

### } 


} 


34.3. Procedure de tests des services 

Vous allez pouvoir tester. A partir de maintenant vous devrez consulter les fichiers de logs si vous rencontrez des problemes 
de fonctionnement, les tables de processus... bref tout ce qui pourra vous permettre de determiner la ou les sources possibles 
des dysfonctionnements si vous en constatez. 

Lancez le service bind et tester son fonctionnement avec rndc. 

root@master : /home/knoppix# rndc status 

number of zones: 8 

debug level: 0 

xfers running: 0 

xfers deferred: 0 

soa queries in progress: 0 

query logging is OFF 

server is up and running 

root@master : /home/knoppix# 


Qa permet de verifier que la cle est bien reconnue. 

Veriftez le fonctionnement du serveur a l'aide de la commande dig. 

root@master : /home/knoppix/tmp# dig @127.0.0.1 freeduc-sup.org axfr 
; <<>> DiG 9.2.2 <<>> @127.0.0.1 freeduc-sup.org axfr 
;; global options: printcmd 


f reeduc-sup . org . 

86400 

IN 

SOA 

master . f reeduc-sup . org . root . freeduc-sup . org . 

2004050107 

10800 

f reeduc-sup . org . 

86400 

IN 

NS 

master . freeduc-sup . org . 



f reeduc-sup . org . 

86400 

IN 

MX 

10 master.freeduc-sup.org. 



argo . f reeduc-sup . org . 

86400 

IN 

A 

192.168.0.253 



master . f reeduc-sup . org . 

86400 

IN 

A 

192 .168 .0.1 



www . f reeduc-sup . org . 

86400 

IN 

CNAME 

master . freeduc-sup . org . 



f reeduc-sup . org . 

86400 

IN 

SOA 

master . freeduc-sup . org . root . freeduc-sup . org . 

2004050107 

10800 


;; Query time: 36 msec 
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;; SERVER: 127 . 0 . 0 . 1#53 (127 . 0 . 0 . 1) 

;; WHEN: Tue May 6 19:15:38 2003 
;; XFR size: 8 records 

Verifier de la meme facon le fonctionnement de la zone reverse. 

Verifiez la strucure du fichier dhcp. 

root@master : /home/knoppix# dhcpd3 -t 

Internet Software Consortium DHCP Server V3.0.1rc9 

Copyright 1995-2001 Internet Software Consortium. 

All rights reserved. 

For info, please visit http://www.isc.org/products/DHCP 

£a permet de verifier qu'il n'y a pas d'erreur de syntaxe dans le fichier. 

Testez le fonctionnement traditionnel de votre serveur DHCP a partir d'un client Linux et windows. Faites des renouvellement 
de baux. 

34.4. Integration des services 

Par defaut les client Linux ne transmettent pas leur nom d'hote comme c'est le cas pour les clients windows. Modifiez sur le 
client Linux le fichier /etc/dhclient . conf de la fagon suivante, nous verrons plus loin comment generer un nom 
dynamiquement : 

[root@bestof mix]# more /etc/dhclient . conf 
send host-name "bestof 

Decommentez dans les fichiers named, conf et dhcpd. conf les lignes commentees par ###. 

Supprimez dans le dhcpd.conf la ligne : 

ddns-update-style none; 

Relancez le service DNS et testez sont bon fonctionnement 
Verifiez le fichier dhcpd . conf avec la commande dhcpd.3 -t. 

Lancez dhcp en mode foreground dhcpd.3 -d, voici ce que vous devriez obtenir : 

root@master : /etc/dhcp3# dhcpd3 -d 

Internet Software Consortium DHCP Server V3.0.1rc9 
Copyright 1995-2001 Internet Software Consortium. 

All rights reserved. 

For info, please visit http://www.isc.org/products/DHCP 
Wrote 1 leases to leases file. 

Listening on LPF/ethO/OO : dO : 59 : 82 : 2b : 86/192 . 168 . 0 . 0/24 
Sending on LPF/ethO/OO : dO : 59 : 82 : 2b : 86/192 . 168 . 0 . 0/24 
Sending on Socket /fallback/fallback-net 

Demandez un bail a partir du client windows (ici windows 2000 Server), voici ce qui devrait se passer : 

DHCPDISCOVER from 00 : 08 : c7 : 25 : bf : 5a (saturne) via ethO 

DHCPOFFER on 192.168.0.195 to 00 : 08 : c7 : 25 : bf : 5a (saturne) via ethO 

Added new forward map from saturne.freeduc-sup.org to 192.168.0.195 

added reverse map from 195 . 0 . 168 . 192 . in-addr . arpa to saturne.freeduc-sup.org 

DHCPREQUEST for 192.168.0.195 (192.168.0.1) from 00 : 08 : c7 : 25 : bf : 5a (saturne) via ethO 

DHCPACK on 192.168.0.195 to 00 : 08 : c7 : 25 :bf : 5a (saturne) via ethO 

Demandez un bail a partir du client Linux, voici ce qui devrait se passer ; 

DHCPDISCOVER from 00 : 08 : c7 : 25 : ca : 7c via ethO 

DHCPOFFER on 192.168.0.194 to 00 : 08 : c7 : 25 : ca : 7c (bestof) via ethO 

Added new forward map from bestof.freeduc-sup.org to 192.168.0.194 

added reverse map from 194 . 0 . 168 . 192 . in-addr . arpa to bestof.freeduc-sup.org 

DHCPREQUEST for 192.168.0.194 (192.168.0.1) from 00 : 08 : c7 : 25 : ca : 7c (bestof) via ethO 

DHCPACK on 192.168.0.194 to 00 : 08 : c7 : 25 : ca : 7c (bestof) via ethO 

Voici le contenu du fichier de journalisation de bind : 

Log de Bind log-update-debug.log 

root@master : /var/log# more log-update-debug.log 

May 06 07:49:50.457 update: info: client 1 92 . 1 68 . 0 . 1#3284 6 : updating zone 'freeduc-sup.org/IN': adding an RR 

May 06 07:49:50.458 update: info: client 1 92 . 1 68 . 0 . 1#3284 6 : updating zone 'freeduc-sup.org/IN': adding an RR 

May 06 07:49:50.512 update: info: client 1 92 . 1 68 . 0 . 1#3284 6 : updating zone ' 0 . 1 68 . 1 92 . in-addr . arpa/IN ' : deleting 
t 

May 06 07:49:50.512 update: info: client 1 92 . 1 68 . 0 . 1#3284 6 : updating zone ' 0 . 1 68 . 1 92 . in-addr . arpa/IN ' : adding a 
May 06 07:50:47.011 update: info: client 1 92 . 1 68 . 0 . 1#3284 6 : updating zone 'freeduc-sup.org/IN': adding an RR 

May 06 07:50:47.011 update: info: client 1 92 . 1 68 . 0 . 1#3284 6 : updating zone 'freeduc-sup.org/IN': adding an RR 

May 06 07:50:47.017 update: info: client 1 92 . 1 68 . 0 . 1#3284 6 : updating zone ' 0 . 1 68 . 1 92 . in-addr . arpa/IN ' : deleting 
t 
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May 06 07:50:47.017 update: info: client 1 92 . 1 68 . 0 . 1#3284 6 : updating zone ' 0 . 1 68 . 1 92 . in-addr . arpa/IN ' : adding a 
root @mas ter : / var/ log# 

Voici le contenu du fichier de declaration de zone avec les nouveaux enregistrements 

root@master : /var/log# dig @127.0.0.1 freeduc-sup.org axfr 

; <<>> DiG 9.2.2 <<>> @127.0.0.1 freeduc-sup.org axfr 
;; global options: printcmd 

freeduc-sup.org. 86400 IN SOA master.freeduc-sup.org. root.freeduc-sup.org. 2004050103 10800 

freeduc-sup.org. 86400 IN NS master.freeduc-sup.org. 

freeduc-sup.org. 86400 IN MX 10 master.freeduc-sup.org. 

argo.freeduc-sup.org. 86400 IN A 192.168.0.253 

bestof.freeduc-sup.org. 300 IN TXT n 00e31b2921cd30bfad552ca434b61bda02 " 

bestof.freeduc-sup.org. 300 IN A 192.168.0.194 

master.freeduc-sup.org. 86400 IN A 192.168.0.1 

saturne.freeduc-sup.org. 300 IN TXT " 310e43cf c20efbelc96798d48672bc76aa" 

saturne.freeduc-sup.org. 300 IN A 192.168.0.195 

www.freeduc-sup.org. 86400 IN CNAME master.freeduc-sup.org. 

freeduc-sup.org. 86400 IN SOA master.freeduc-sup.org. root.freeduc-sup.org. 2004050103 10800 

;; Query time: 381 msec 
; ; SERVER: 127.0.0.1#53 (127.0.0.1) 

;; WHEN: Tue May 6 07:56:43 2003 
;; XFR size: 12 records 

34.5. Generer un nom dynamiquement pour les clients DHCP 

Cela est possible en modifiant le fichier de configuration de DHCP. Vous pourrez retrouver tous les elements dans la page de 
manuel. 

Par exemple rajoutez dans le fichier la ligne ci-dessous pour adapter le nom a partir de l'adresse MAC du client : 

#ddns-hostname = binary-to-ascii (16, 8, "-", substring (hardware, 1, 12)); 

Ou celle-ci pour localiser le client : 

ddns-hostname = concat ( "dhcp-a-limoges" , binary-to-ascii ( 10, 8, leased-address) ) ; 

Avec cette derniere, voici les enregistrements ajoutes : 

Added new forward map from dhcp-a-limoges-192-168-0-194.freeduc-sup.org to 192.168.0.194 
added reverse map from 194 . 0 . 168 . 192 . in-addr . arpa to dhcp-a-limoges-192-168-0-194.freeduc-sup.org 
DHCPREQUEST for 192.168.0.194 from 00 : 08 : c7 : 25 : ca : 7c via ethO 
DHCPACK on 192.168.0.194 to 00 : 08 : c7 : 25 : ca : 7c (bestof) via ethO 

Le fichier des incriptions : 

root@master : /home/knoppix# more /var/lib/dhcp3/dhcpd . leases 
lease 192.168.0.194 { 

starts 2 2003/05/06 17:38:38; 

ends 2 2003/05/06 17:48:38; 

binding state active; 

next binding state free; 

hardware ethernet 00 : 08 : c7 : 25 : ca : 7c; 

set ddns-rev-name = "194 . 0 . 168 . 192 . in-addr . arpa" ; 

set ddns-txt = "00e31b2921cd30bfad552ca434b61bda02 " ; 

set ddns-fwd-name = "dhcp-192-168-0-194.freeduc-sup.org"; 

client-hostname "bestof"; 

} 

Les transferts de zones directes et inverses : 

root@master : /home/knoppix/tmp# dig @127.0.0.1 freeduc-sup.org axfr 

; <<>> DiG 9.2.2 <<>> @127.0.0.1 freeduc-sup.org axfr 
;; global options: printcmd 

freeduc-sup.org. 86400 IN SOA master.freeduc-sup.org. root.freeduc-sup.org. 2004050116 10800 

freeduc-sup.org. 86400 IN NS master.freeduc-sup.org. 

freeduc-sup.org. 86400 IN MX 10 master.freeduc-sup.org. 

0-8-c7-25-ca-7c.freeduc-sup.org. 300 IN TXT "00e31b2921cd30bfad552ca434b61bda02 " 

0-8-c7-25-ca-7c.freeduc-sup.org. 300 IN A 192.168.0.194 

argo.freeduc-sup.org. 86400 IN A 192.168.0.253 

dhcp-192-168-0-194.freeduc-sup.org. 300 IN TXT "00e31b2921cd30bfad552ca434b61bda02" 

dhcp-192-168-0-194.freeduc-sup.org. 300 IN A 192.168.0.194 

dhcp-a-limoges-192-168-0-194.freeduc-sup.org. 300 IN TXT "00e31b2921cd30bfad552ca434b61bda02" 
dhcp-a-limoges-192-168-0-194.freeduc-sup.org. 300 IN A 192.168.0.194 


master . f reeduc-sup . org . 

86400 

IN 

A 

192 .168 .0.1 

www . f reeduc-sup . org . 

86400 

IN 

CNAME 

master . f reeduc-sup . org . 

f reeduc-sup . org . 

86400 

IN 

SOA 

master.freeduc-sup.org. root . freeduc-sup . org . 2004050116 10800 


;; Query time: 3 msec 
; ; SERVER: 127.0.0.1#53 (127.0.0.1) 
;; WHEN: Tue May 6 19:39:08 2003 
;; XFR size: 14 records 
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La zone reverse : 


root @master : /home/knoppix/tmp# dig @127.0.0.1 0 . 1 68 . 92 . in-addr . arpa axfr 

; <<>> DiG 9.2.2 <<>> @127.0.0.1 0 . 168 . 92 . in-addr . arpa axfr 
;; global options: printcmd 
; Transfer failed. 

root@master : /home/knoppix/tmp# dig @127.0.0.1 0 . 1 68 . 1 92 . in-addr . arpa axfr 


; «» DiG 9.2.2 «» @127.0.0.1 0.168. 192. in 


;; global options: printcmd 
0 . 1 68 . 1 92 . in-addr . arpa . 86400 IN SOA 

0 . 1 68 . 1 92 . in-addr . arpa . 86400 IN NS 

1 . 0 . 1 68 . 1 92 . 1n-addr . arpa . 86400 IN PTR 

194 . 0 . 168 . 192 . 1n-addr. arpa. 300 IN PTR 

3 . 0 . 1 68 . 1 92 . 1n-addr . arpa . 86400 IN PTR 

0 . 1 68 . 1 92 . in-addr . arpa . 86400 IN SOA 

;; Query time: 3 msec 

; ; SERVER: 127.0.0.1#53 (127.0.0.1) 

;; WHEN: Tue May 6 19:40:08 2003 
;; XFR size: 7 records 


addr.arpa axfr 

master . f reeduc-sup . org . root . f reeduc-sup . org . 

master . f reeduc-sup . org . 

master . f reeduc-sup . org . 

dhcp-192-168-0-194 . f reeduc-sup .org. 

argo . f reeduc-sup . org . 

master . f reeduc-sup . org . root . f reeduc-sup . org . 


2004050113 10800 


2004050113 10800 


Chapitre 35. Installation d'un service Web-mail 

Agent Utilisateurs de Messagerie bases sur HTTP 

Agent Utilisateurs de Messagerie bases sur HTTP 


35.1. Presentation 

II est preferable d'avoir realise les ateliers sur les serveurs HTTP, SMTP et DNS avant de commencer celui-ci. 

Le service Web-mail permet l'utilisation d'un service de messagerie a partir d'un client Web comme mozilla. Cette interface est 
interessante, car contrairement a un client pop3 standard qui serait configure pour rapatrier les courriers sur la machine locale, 
ceux-ci, vont rester sur le serveur. Vous pouvez les consulter a partir de n'importe quel poste pourvu qu'il dispose d'un 
navigateur. Vous aurez ensuite tout le loisir de les recuperer avec votre client de messagerie prefere si vous en utilisez un. 

II existe un tres grand nombre de serveur Web-mail, et ecris dans des langages tres differents. Une etude a ete realisee par le 
CRU http://www.cru.fr/http-maiP, mais parmi les principaux on peut citer IMP ecris en PHP et qui s'appuie sur la librairie 
horde. II existe aussi OpenWebmail qui lui est ecris en Perl. Ces deux produits existent en paquets Debian, on utilisera pour le 
TP OpenWebmail, mais ces deux outils comportent chacun de nombreuses qualites, le choix devra se faire en fonction du 
degre d'integration que vous souhaiterez obtenir avec vos autres applications. 


35.2. Architecture generale du service 


Figure 35-1. Architecture globale d'un service Web-mail 


1. En 1 et 2, le client passe par une phase prealable d'authentification, il faut done un service correspondant sur le 
serveur. Cela peut etre pris directement en charge par le service Web-mail ou par un service exterieur (pam, ldap par 
exemple). (Nous utiliserons l'authentification pam). 

2. En 3 et 4, le dialogue s'effectue en un navigateur et un serveur HTTP. Le dialogue peut s'effectuer dans un canal SSL 
ou TLS. Le suivi de session peut etre realise a l’aide de cookie par exemple. (Nous utiliserons Apache comme serveur 
HTTP). 

3. En A et B, le service Web-mail utilise une base de donnees pour les boites aux lettres des utilisateurs, pour les 
dossiers (inbox, outbox, trash...) et la conservation des courriers. Certains Web-mail s'appuient sur des bases de 
type MySQL, PostgreSQL... ou simplement sur une arborescence de repertoires dans le HOME_DIRECTORY de 
l'utilisateur. (Nous n'utiliserons pas de SGBD/R). 

4. Sur le serveur, il faut activer un protocole de traitement du courrier (pop3, pop3s, imap, imaps...). Nous utiliserons 
imap et pop3. 

5. Vous aurez egalement besoin d'un service SMTP pour le traitement des courriers sortants (nous utiliserons postfix) et 
d'un service de livraison (DUA) (nous utiliserons procmail) pour delivrer les courriers entrants. 


35.3. Installation et configuration OpenWebmail 

Vous allez installer OpenWebmail mais auparavant il est necessaire de s'assurer du bon fonctionnement de certains services, 
(smtp, mail, procmail, apache...) 


Chapitre 35. Installation d'un service Web-mail 


139 


Tutoriel sur les serveurs 


35.3.1. Preparation de la machine 

Suivez la procedure ci-dessous pour preparer la machine. 


35.3.1.1. Configuration generate 

On considere la configuration suivante, vous adapterez les noms, adresses IP et autres parametres a votre configuration. 11 n'y a 
pas de DNS. 

Nom d'hote : freeduc-sup ($NAME) 

Nom FQDN de la machine : freeduc-sup.foo.org ($FQDN) 

Adresse de reseau : 192.168.0.0 
Adresse de la machine : 192.168.0.2 

Adresse de la passerelle par defaut : 192.168.0.254 


35.3.1.2. Test de la resolution de nom 

Verifier que la resolution de nom fonctionne parfaitement. Les commandes : ping $NAME et ping $FQDN doivent repondre 
correctement. 


# Exemple de fichier /etc/hosts 

127.0. 0.1 freeduc-sup freeduc-sup.foo.org localhost localhost . localdomain 

192.168.0. 2 freeduc-sup freeduc-sup . foo . or 


35.3.1.3. Le service Apache 

Activez le service apache. II ne doit pas y avoir de message d'erreur au lancement, notamment sur la resolution de nom. 
Verifiez egalement le bon fonctionnement avec une requete sur : http://localhost 


35.3.1.4. Le service SMTP (Postfix) 

Pour configurer postfix, utilisez la commande dpkg-reconf igure postfix , vous prendrez site internet. Les valeurs par 
defaut doivent normalement fonctionner. 

Ouvrez le fichier /etc/postf ix/main . cf, verifiez qu'il correspond a celui-ci, au besoin modifiez le : 

# Fichier de configuration de Postfix 

# Adaptez vos noms d'hotes et vos noms de machines 

# see /usr/share/postf ix/main . cf . dist for a commented, fuller 

# version of this file. 

# Do not change these directory settings - they are critical to Postfix 

# operation. 

command_di rectory = /usr/sbin 
daemon_directory = /usr/lib/postf ix 
program_directory = /usr/lib/postf ix 

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) 
setgid_group = postdrop 
biff = no 

myhostname = freeduc-sup.foo.org 

mydomain = foo.org 

myorigin = $myhostname 

inet_interf aces = all 

alias_maps = hash : /etc/aliases 

alias_database = hash : /etc/aliases 

mydestination = $myhostname, localhost . $mydomain 

relayhost = 

mailbox_command = procmail -a "$EXTENSION" 
mailbox_size_limit = 0 
recipient_delimiter = + 

Une fois cela realise, activez ou relancez le service. 

/etc/init . d/postfix start 
/etc/init .d/postfix reload 


35.3.1.5. Activation des services imap 

Cela s'effectue dans le fichier inet . conf . II faudra adapter si vous utilisez xinetd. Cela depend de la distribution de 
GNU/Linux que vous utilisez. Vous pouvez egalement utiliser la commande dpkg-reconf igure uw-imapd. Dans ce 
cas, prenez imap2 (qui correspond a imap4 (? ;-))) et imaps. 

Extrait d'un exemple de configuration de inetd . conf : 

#:MAIL: Mail, news and uucp services. 

imap2 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/imapd 
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Adaptez votre fichier de configuration, puis relancer inetd avec la commande : 

/etc/init . d/inetd restart 

Verifiez que les ports sont bien ouverts avec la commande netstat. Vous devez avoir les ports 25 (pop3)si vous l'avez active et 
143 (imap) ouverts. 


netstat -atup I grep LISTEN 


tcp 

0 

0 

* : netbios-ssn 

■k • -k 

LISTEN 

269/ smbd 

tcp 

0 

0 

* : imap2 

-k . -k 

LISTEN 

263/ inetd 

tcp 

0 

0 

* : sunrpc 

-k . -k 

LISTEN 

151/portmap 

tcp 

0 

0 

* : ssh 

-k . -k 

LISTEN 

278/ sshd 

tcp 

0 

0 

* :ipp 

-k • -k 

LISTEN 

290/ cupsd 

tcp 

0 

0 

* : smtp 

-k . -k 

LISTEN 

899/master 


Nous voyons imap2, ligne 2, pris en charge par inetd. 


root@freeduc- 

-sup : /home/mix# 

netstat -natup 

| grep LISTEN 


tcp 

0 

0 

0.0.0.0:139 

0.0. 0.0:* 

LISTEN 

2 69/smbd 

tcp 

0 

0 

0.0.0.0:143 

0.0. 0.0:* 

LISTEN 

2 63/inetd 

tcp 

0 

0 

0.0.0.0:111 

0.0. 0.0:* 

LISTEN 

151/portmap 

tcp 

0 

0 

0.0.0.0:22 

0.0. 0.0:* 

LISTEN 

278/sshd 

tcp 

0 

0 

0.0.0.0:631 

0.0. 0.0:* 

LISTEN 

290/cupsd 

tcp 

0 

0 

0.0.0.0:25 

0.0. 0.0:* 

LISTEN 

899/master 


Ici l'option -n de netstat nous indique les numeros de ports utilises. 

Remarque : si vous souhaitez utiliser un client pop, vous devrez activer egalement le protocole pop. 


35.3.1.6. Test des services 

A ce stade, il nous est possible de tester completement le service de messagerie. Vous pouvez indifferemment utiliser un client 
comme kmail ou Mozilla. Le plus simple est d'utiliser le client mail. 

Suivez la procedure ci-dessous : 

1 . Creez deux comptes utilisateurs alpha et beta qui serviront pour les tests avec la commande adduser. 

2. Testez avec la commande mail que l'envoie de courrier se deroule correctement. Les commandes : 


mail alpha 

mail alpha@f reeeduc-sup 

mail alpha@freeduc-sup.foo.org 

doivent fonctionner correctement. 


35.3.2. Installation d'OpenWebmail 

Si vous utilisez la freeduc-sup, OpenWebmail n'est pas installe. Utilisez la commande : 

apt-get install openwebmail 

La commande installera egalement 3 paquets supplementaires qui correspondent aux dependances puis lancera la procedure de 
configuration. 


35.3.3. Configuration de I'application OpenWebmail 

Vous pouvez a tout moment reconfigurer I'application avec dpkg-reconf igure openwebmail. Prenez comme option : 

authentif ication -> auth_pam.pl 
langage -> fr 


35.3.4. Test de I'environnement 

Pour tester I'environnement vous avez deux liens : 


http : //localhost/ openwebmail 


qui vous place sur un espace documentaire 

http : //localhost/ cgi-bin/openwebmail/ openwebmail .pi 


qui lance I'application proprement dite et vous amene sur la premiere fenetre de login 


Figure 35-2. Ouverture de session sur un Web-mail 


35.3.1 . Preparation de la machine 
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II vous sera possible de creer un serveur Web virtuel pour avoir par exemple : « openwebmail.freeduc-sup.org ». 


35.3.5. Configuration de I'environnement utilisateur 

A la premiere session, la personne re£oit une invite lui permettant de configurer son environnement et ses parametres 
particuliers, comme son adresse de reponse, modifier son mot de passe... Ces parametres sont modifiables a tout moment. 


Figure 35-3. Configuration de I'environnement utilisateur 


35.3.6. Test et environnement OpenWebmail 

A partir de ce moment, I'environnement complet est disponible. L'utilisateur dispose egalement d'un calendrier et d'une 
documentation en ligne. 


Figure 35-4. Voir ses messages 


Figure 35-5. Le calendrier 


Figure 35-6. L'aide en ligne 


35.4. Application 


1 . Configurez et verifiez le bon fonctionnement des services de resolution de nom, apache, postfix. 

2. Installez et configurez OpenWebmail. 

3. Testez le fonctionnement OpenWebmail. 


Chapitre 36. Installation d'un service mandataire (Proxy 
SQUID) 

Serveur mandataire et serveur de cache - Fiche de cours 

Serveur mandataire et serveur de cache - Fiche de cours 

Squid est un service serveur proxy-cache sous linux. Les objets consultes par les clients sur internet, sont stockes en cache 
disque par le serveur. A partir du deuxieme acces, la lecture se fera en cache, au lieu d'etre realisee sur le serveur d'origine. De 
ce fait il permet « d'accelerer » vos connexions a l'internet en pla§ant en cache les documents les plus consultes. On peut 
aussi utiliser la technique du service serveur mandataire pour effectuer des controles d'acces aux sites. 

Les services proxy peuvent etre organises de fa£on hierarchique : 


I serveur | 
I national I 


serveur | | serveur | 

regional I I regional 


serveur | | serveur 

local | | local 
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Ls serveurs peuvent etre parametres pour les autorisations d'acces et les synchronisations. 

Les postes clients sont souvent configures pour utiliser un serveur proxy. Le client s'adresse au serveur proxy, et c'est ce 
dernier qui traite la requete sur internet. Un fois la reponse re£ue, le serveur met en cache la reponse et la retourne au client 
interne. Le service proxy est frequemment configure sur un routeur qui remplit aussi le service de translation d’adresse ou 
translation de port, mais toutes ces fonctions sont bien differentes. 

Dans certains cas, on peut ne pas souhaiter que la configuration soit realisee au niveau du client. On souhaite que celle-ci soit 
faite au niveau du serveur. Cela peut arriver par exemple si vous avez plusieurs centaines de postes a configurer ou bien si vous 
ne souhaitez pas que les utilisateurs puissent modifier ou avoir acces a cette partie de la configuration. On parlera de 
« service proxy transparent »>. Le service serveur proxy peut etre sur le routeur d'acces a I'internet ou sur une autre 
machine. 

Service proxy tranparent : 

La configuration des navigateurs, sur les postes clients, n'est pas concernee. 


Vers internet 


/ 1 \ 

m 

i 

i 


1 routeur | 
proxy | 

1 

1 1 (3) 

routeur | < 

1 > 

i 

1 proxy 

1 


m <2) 

i 


1 

i (i) 
i 


1 1 

client | 1 client 

1 1 

client 


> 

Figure 1 

< 

Figure 2 

— 


Sur la Figure 1, le service proxy est installe sur le routeur. 

Sur la figure 2, les requetes du client (1), sont redirigees vers le proxy par le routeur (2), qui retourne au client la reponse ou 
redirige vers le routeur (3) pour un envoie sur l'exterieur. 


36.1. Installer Squid 

Sur debian apt-get install squid. 

Squid comporte de tres nombreux parametres. L'optimisation n'en est pas toujours simple. Nous allons voir uniquement 
quelques options permettant un fonctionnement du service. 11 sera necessaire, pour un site en production, de se referer a la 
documentation officielle. 

Pour demarrer une configuration simple, il est possible d'utiliser le fichier de configuration /etc/squid . conf, dont chaque 
parametre est documents. 


36.2. Configuration de squid 

Toute la configuration de Squid se trouve dans le fichier squid . conf. La plupart des options par defaut du fichier ne sont 
pas a changer (vous pouvez alors laisser le # pour conserver les options en commentaire.) 

http_port : le port que vous souhaitez utiliser. Le plus frequent est 8080. II faut done changer cette valeur car par defaut 
Squid utilise 3128. 

icp_port : conserver le port 3130. Ceci vous permet de communiquer avec des proxy-cache parents ou voisins. 

cache_mem : correspond au cache memoire, la valeur depend de votre systeme. Par defaut squid utilise 8 Mo. Cette taille doit 
etre la plus grande possible afin d'ameliorer les performances (Considerez 1/3 de la memoire que vous reservez a Squid). II faut 
avec cache_mem regler cache_mem_low et cache_mem_high qui sont les valeurs limites de remplissage du cache memoire. 

Par defaut les valeurs sont 75 % et 90 %. Lorsque la valeur de 90 % est atteinte le cache memoire se vide jusqu'a 75 %. Les 
valeurs par defaut sont correctes dans la plupart des cas. 

cache_swap : correspond a la taille de votre cache disque. Si la taille du disque le permet, et en fonction de la taille de votre 
etablissement (nombre de client qui utilise le cache), mais aussi de la duree de rafraichissement de votre cache et du debit de 
votre ligne, vous devez mettre la valeur qui vous semble correspondre a votre situation. 

acl QUERY urlpath_regex cgi-bin \? \.cgi \.pl \.php3 \ . asp : Type de page a ne pas garder dans le 
cache afin de pas avoir les donnees d'un formulaire par exemple. 


36.1 . Installer Squid 
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maximum_ob ject_size : taille maximale de l'objet qui sera sauvegarde sur le disque. On peut garder la valeur par defaut. 

cache_dir : Vous indiquez ici le volume de votre cache. Si vous avez plusieurs disques utilisez plusieurs fois cette ligne. Si 
squid ne fonctionne pas bien, ou s'arrete paifois sans raison apparente, verifiez que vous avez un cache assez important ou bien 
configure. 


cache_dir ufs /cachel 100 16 256 (cache de 100 Mb) 

cache_dir ufs /cache2 200 16 256 (cache de 200 Mb) 

Les valeurs 16 et 256, indiquent le nombre de sous-repertoires crees respectivement dans le premier niveau et suivants pour le 
stockage des donnees du cache. 

cache_access_log ; cache_log ; cache_store_log : Indique l’endroit ou se trouve les logs (fichiers de 
journalisation. Si vous ne souhaitez pas avoir de log (par exemple des objets cache_store_log) indiquer 
cache_store_log none. 

debug_options ALL, 1 : niveau de debug. Indiquer 9 pour avoir toutes les traces a la place de 1. Attention cela donne de 
gros fichiers. 

dns_children : par defaut le nombre de processus simultanes dns est de 5. II peut etre necessaire d’augmenter ce nombre 
afin que Squid ne se trouve pas bloque. Attention de ne pas trop l’augmenter cela pouvant poser des problemes de performance 
a votre machine (indiquer 10 ou 15). 

request_size : taille maximale des requetes. Conserver le defaut, concerne les requetes de type GET, POST... 

ref resh_pattern : permet de configurer la duree de mise a jour du cache. Utiliser -i pour ne pas tenir compte des 
minuscules ou des majuscules, (voir le fichier squid . conf). Les valeurs Min et Max sont indiquees en minutes. Exemple : 

# ref resh_pattern A ftp: 1440 20% 10080 

visible_hostname : indiquer ici le nom de votre serveur proxy. 

logf ile_rotate : pour faire tourner vos logs et garder un nombre de copies, par defaut 10. attention si votre cache est tres 
utilise il peut generer un grand volume de logs, pensez done a reduire ce nombre. 

error_directory : Pour avoir les messages d’erreurs en fraiujais (indiquer le repertoire ou ils se trouvent). Exemple : 

#error_di rectory /etc/ squid/errors 

#Creer un lien vers le repertoire ou sont loges les messages en Frangais. 


36.3. Initialisation de Squid 

Cela n’est realise que la premiere fois afin de generer le cache. 

squid -z 


36.4. Les options de demarrage de squid 

On peut aussi demarrer squid en lui passant des commandes sur la ligne de commande. Differents parametres peuvent etre 
passes sur la ligne de commande. Les options passees de cette facon remplacent les parametres du fichier de configuration de 
Squid squid, conf. 

-h : Pour obtenir les options possibles 
-a : Pour indiquer un port particulier 

-f : pour utiliser un autre fichier de conf au lieu de squid. conf 
-u : specifie un port pour les requetes ICP . (3110 par defaut) 

-v : pour indiquer la version de Squid 
-z : Pour initialiser le disque cache. 

-k : Pour envoyer des instructions a Squid pendant son f onctionnement . 

Il faut faire suivre -k d'une instruction 

(rotate | reconfigure | shutdown | interrupt | kill | debug | check) . 

-D : pour demarrer squid lorsque vous n'etes pas connecte en 

permanence a internet (evite de verifier si le serveur DNS repond) . 


36.5. Controler les acces 

Pour controler tout ce qui passe par votre serveur proxy, vous pouvez utiliser ce que Ton appelle les ACL (Access Control List). 
Les ACL sont des regies que le serveur applique. Cela permet par exemple d'autoriser ou d'interdire certaines transactions. 

On peut autoriser ou interdire en fonction du domaine, du protocole, de 1'adresse IP, du numero de port, d'un mot, on peut aussi 
limiter sur des plages horaires. 

La syntaxe d'une ACL est la suivante : 
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acl aclname acltype string [ string2 ] 

http_access allowl deny [!] aclname 

acltype peut prendre comme valeur : 

src (pour la source) : indication de l'adresse IP du client sous la 
forme adresse/masque . On peut aussi donner une plage d'adresse 
sous la forme adresse_IP_debut-adresse_IP_f in 
dst (pour la destination) : idem que pour src, mais on vise 
l'adresse IP de l'ordinateur cible. 
srcdomain : Le domaine du client 
dstdomain : Le domaine de destination. 
url_regex : Une chaine contenu dans 1 ' URL 

(on peut utiliser les jokers ou un fichier) . 
urlpath_regex : Une chaine comparee avec le chemin de l'URL 
(on peut utiliser les jokers) . 
proto : Pour le protocole. 

Exemple 1 : Interdire Faeces a un domaine : supposons que nous souhaitions interdire Faeces a un domaine (par exemple le 
domaine pas_beau.fr). On a done 

acl veuxpas dstdomain pas_beau.fr 

http_access deny veuxpas 

http_access allow all # On accepte tout 


La derniere ligne ne doit exister qu'une fois dans le fichier squid . conf . 

Exemple 2 : interdire Faeces aux pages contenant le mot jeu. 

acl jeu url_regex jeu 

http_access deny jeu 

http_access allow all 

Attention url_regex est sensible aux majuscules/minuscules. Pour interdire JEU, il faut aussi ajouter JEU dans votre ACL. 
II n'est pas besoin de reecrire toute l’ACL. On peut ajouter JEU derriere jeu en laissant un blanc comme separation (cela 
correspondant a Foperateur logique OU). 

On peut placer un nom de fichier a la place dime serie de mots ou d’adresses, pour cela donner le nom de fichier entre 
guillemets. Chaque ligne de ce fichier doit contenir une entree. 

Exemple 3 : utilisation dim fichier 

# URL interdites 

acl url_interdites url_regex "/etc/squid/denied_url" 

http_access deny url_interdites 

Des produits associes a Squid (redirecteurs) permettent un controle plus simple. SquidGuard, par exemple, permet d’interdire 
des milliers de sites. Le site d’information est reference plus loin dans la mbrique « liens ». Pensez, si vous utilisez 
SquidGuard, a configurer la ligne suivante dans le fichier squid . conf : 

redirect_program /usr/ local /squid/bin/ SquidGuard 


Exemple 4 : pour controler qui a le droit d’utiliser votre cache, creez une ACL du type : 


acl si_OK 
http_access allow 
http_access allow 
http_access deny 


src 192.168.0.0/255.255.0.0 

localhost 

site_OK 

all 


36.6. Controler les acces par authentification 

Parmi les demandes qui reviennent le plus souvent, la question de Futilisation de Squid pour controler qui a le droit d’aller sur 
internet, est lime des plus frequente. 

On peut imaginer deux solutions : 

La premiere consiste a controler les acces par salle et par horaires, en fonction dim plan d’adressage de votre etablissement. Le 
travail de Facademie de Grenoble avec Is projet SLIS permet de faire cela. On Fadministre avec une interface Web. Ce n’est 
alors pas Squid qui est utilise pour cela mais les fonctions de filtrage du routeur (netfilter par exemple). Construire des ACL 
directement dans Squid est faisable, mais cela n'est pas toujours simple a mettre en oeuvre. 

La deuxieme solution est de controler en fonction des individus. Squid permet de faire cela, a partir de plusieurs fagons 
(APM, LDAP, NCSA auth, SMB...). Les differentes techniques sont decrites dans la LAQ de Squid sur le site officiel. Squid 

Si vous utilisez un annuaire LDAP, vous devez avoir dans le fichier squid . conf les lignes suivantes : 

acl identification proxy_auth REQUIRED 

http_access allow identification 

authentif icate_program /usr/lib/squid/squid_ldap_auth \ 
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-b $LDAP_USER -u uid SERVE UR_LDAP 
LDAP_USER est 1 ' ou dans laquelle se trouve les clients 
(par exemple ou=people, ou= ac-limoges, ou=education, ou=gouv, c=fr) . 

Si vous n'avez pas de serveur LDAP, une methode simple a mettre en oeuvre, consiste a utiliser une methode similaire ux 
fichier . htaccess d'Apache. 

Exemple de configuration avec NCSA_auth 

authenticate_program /usr/lib/ncsa_auth /etc/squid/passwd 
acl foo proxy_auth REQUIRED 

acl all src 0/0 

http_access allow foo 

http_access deny all 


36.7. Interface web de Squid et produits complementaires 

squid dispose en standard de quelques outils, mais sinon vous pouvez utiliser webmin. Vous trouverez egalement, sur le site 
officiel de squid, une liste de produits supplementaires pouvant etre interfaces avec Squid. 


36.8. La journalisation 

Squid journalise les transactions dans un fichier access . log. Ce fichier donne les informations sur les requetes qui ont 
transite par Squid. Le fichier cache . log informe sur l'etat du serveur lors de son demarrage. Le fichier store . log 
informe sur les objets stockes dans le cache. 

Les dates indiquees dans le fichiers access . log indique le temps en secondes depuis le 1 janvier 1970 (format epoch), ce 
qui n'est pas tres facile a lire. Un petit script en perl, permet de recoder les dates : 

# ! /usr/bin/perl -p 
s/ A \d+\ . \d+/localtime $&/e; 


36.9. Configurer les clients 

Pour configurer les clients, on peut utiliser la configuration manuelle ou la configuration automatique avec des fichiers . pac 
ou des fichiers . reg que Ton place dans le script de connexion des clients. 

Configuration manuelle des clients 

Configuration automatique 


36.10. Forcer le passage par Squid (Proxy transparent) 

11 existe plusieurs solutions : 

Configurer votre navigateur avec le bon proxy ou en utilisant le fichier de configuration automatique et le rendre impossible a 
changer. Mais cela necessite que vous controliez les clients ce qui n'est pas toujours le cas. 

Intercepter les requetes sur le port 80 du routeur pour les rediriger sur Squid. 

Vous devez alors avoir dans votre fichier squid . conf : 

# Configuration de traitement des requetes du client 

httpd_accel_host virtual 
httpd_accel_port 80 
httpd_accel_with_proxy on 
httpd_accel_uses_host_header on 
httpd_accel_single_host off 

Puis ajouter la regie pour netfilter de redirection des requetes sur le poit 80 

iptables -t nat -F PREROUTING 

iptables -t nat -A PREROUTING -i ethO -p tcp — dport 80 \ 

-j REDIRECT — to-port 8080 

# Les clients peuvent envoyer leurs requetes sur le port 80 du proxy 

# Le service NAT du routeur les redirige sur le port 8080 


36.11. Le redirecteur SquidGuard 

Squid dispose dime fonctionalite qui permet de passer une URL (requete entrante) a une applications externe. Cela presente 
l'avantage de pouvoir beneficier des services duplications specialises. C'est par exemple le cas pour le redirecteur 
SquidGuard, largement utilise pour proteger les acces sur des sites declares comme « impropres ». Une base de donnees de 
ces sites est tenue a jour. C'est cette derniere qui ets utilisee pour filtrer les acces. 
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36.12. Les applications non prises en charge par un service proxy 

Certaines applications ne sont pas prises en charge par Squid (https, smtp, pop, ftp...). Les raisons peuvent etre diverses. Soit le 
service n'est pas pris en charge (pop, smtp...), soit il n'est pas conseille de Stocker en cache certaines informations 
d'authentification par exemple (https). 

Pour les applications ou services nons pris en charge par un service proxy, vous devrez utiliser l'ipmasquerade, un service de 
translation d'adresse ou utiliser une autre technologie. 


Chapitre 37. Travaux pratiques : installation de SQUID 

37.1. Application 

Vous devez maitriser les techniques de routage avec netfilter. 

Vous allez installer un service proxy minimal, configurer les clients puis tester le fonctionnement de faeces a internet a partir 
des clients. 

Vous configurerez des ACLs permettant un controle d'acces aux donnees externes, vous ferez ensuite evoluer cette 
configuration vers un service mandataire transparent. 

Le service proxy sera installe sur le routeur. 

Utilisez les elements de ce document, ainsi que les exemples de fichiers de configuration donnes en annexe. Vous pourrez 
egalement vous referer au document sur netfilter. 


37.1.1. Preparation de la maquette 

Vous avez un routeur qui vous relie au reseau de l'etablissement et un client qui represente un segment de reseau prive. 
L'ensemble doit fonctionner (acces a internet, resolution de nom, masquage d'adresse. 

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE 

# si 192.168.0.0 est le reseau prive 

Verifier que le routeur fonctionne. Faites un test a partir du client. Supprimez au besoin toutes les regies iptables et activez 
l'ipmasquerade. 

Mettez une regie qui interdise toute requete a destination d'une application HTTP (port 80). Verifier que les clients ne peuvent 
plus sortir. 

# Ici on bloque tout, e'est brutal, mais on va faire avec. 
iptables -P FORWARD DROP 


37.1.2. Installation et configuration du service proxy 

Faites une sauvegarde de votre fichier de configuration original (/etc/ squid . conf). Modifiez le fichier de configuration 
de squid en vous appuyant sur celui donne ci-dessous. 

http_port 3128 

#We recommend you to use the following two lines, 
acl QUERY urlpath_regex cgi-bin \? 
no_cache deny QUERY 
cache_mem 8 MBM 

maximum_ob ject_size_in_memory 8 KB 

cache_dir ufs /var/spool/squid 100 16 256 

cache_access_log /var/log/squid/ access . log 
cache_log /var/log/squid/cache . log 
cache_store_log /var/ log/ squid/store . log 

# Put your FQDN here 

visible_hostname f reeduc-sup . f oo . org 

pid_filename /var/run/squid.pid 

#Recommended minimum configuration: 

acl all sre 0 . 0 . 0 . 0/0 . 0 . 0 . 0 

acl manager proto cache_object 

acl localhost sre 127.0.0.1/255.255.255.255 

#Recommended minimum configuration: 
http_access allow manager localhost 
http_access allow all 
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Initialisez l'espace disque pour le cache. 


# Verifiez que le FQDN de votre serveur est renseigne 

# et que la resolution de nom locale fonctionne (fichier hosts ou DNS) . 

# initialisation de la zone de cache 
squid -z 

# Lancement de squid 
/etc/init . d/squid start I restart 


Demarrer et verifier le bon fonctionnement de Squid. Consultez egalement les journaux. 


$>ps aux 
root 

1 grep squid 
2984 0.0 0.4 

4048 

1124 ? 

S 15:22 0:00 \ 


proxy 

2987 2.1 

1.6 

6148 

4068 ? 

/usr/sbin/squid -D 

S 15:22 0:00 (squid) -D 

-sYC 

-sYC 


Verifier que le port d’ecoute est correct. 

mlx@uranus : ~$ netstat -atup I grep LISTEN 

(Tous les processus ne peuvent etre identifies, les infos sur 
les processus non possedes ne seront pas affichees, vous devez 
etre root pour les voir toutes.) 

tcp 0 0 * : 3128 *:* LISTEN 

Identifiez l’endroit de stockage du cache sur le disque. 


37.1.3. Configuration du client 

Configurer le client pour qu’il utilise le service proxy sur les requetes HTTP, verifier le bon fonctionnement. 


Figure 37-1. Configuration du client 


Identifiez les traces dans les journaux. 

root@uranus : /home/mix# more /var/log/squid/access . log 
1053864320.437 1741 192.168.0.2 TCP_MISS/200 5552 \ 

GET http://www.cru.fr/documents/ - DIRECT/195.220.94.166 text/html 
1053864320.837 1096 192.168.0.2 TCP_MISS/304 331 \ 

GET http://www.cru.fr/styles/default.css - DIRECT/195.220.94.166 - 
1053864321.257 420 192.168.0.2 TCP_MISS/304 331 \ 

GET http : //www . cru . f r /logos/logo-cru-150x53 . gif - DIRECT/ 1 95 . 220 . 94 
1053864321.587 696 192.168.0.2 TCP_MISS/304 331 \ 

GET http://www.cru.fr/icons-cru/mailto.gif - DIRECT/ 1 95 . 220 . 94 . 1 66 
1053864550.537 1461 192.168.0.2 TCP_MISS/200 5552 \ 

GET http://www.cru.fr/documents/ - DIRECT/195.220.94.166 text/htm 


Interdisez tous les acces avec la regie : 


http_access deny all 


Verifiez le fonctionnement. 


37.1.4. Mise en place d'une ACL simple 

Interdisez l'acces a un serveur (google.fr) par exemple. Verifiez le fonctionnement. 

acl google dstdomain .google.fr 
http_access deny google 


37.1.5. Utilisation de fichiers pour Stocker les regies des ACL 

Construisez deux fichiers, l'un qui permettra de Stocker des adresses IP, l'autres des mots cles. Construisez une ACL qui 
interdit l'acces en sortie aux machines qui ont les adresses IP determinees dans le premier fichier, et une ACL qui empeche 
l'acces aux URL qui contiennent les mots cles stockes dans le second fichier. 

# Exemple de ce que le fichier n adresse_ip" contient : 

# Mettez dans laliste des adresse celle de votre client pour tester 

192.168.0. 2 

192.168.0. 10 

# Exemple de ce que le fichier "mot_cle" contient : 
jeu 

game 

# Exemple d'ACL 

acl porn url_regex " /etc/squid/mot_cle" 

acl salleTP_PAS_OK src " /etc/squid/adresse_ip M 
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http_access deny porn 
http_access deny salleTP_PAS_OK 

Tester le fonctionnement de ces deux ACL. (Utiliser comme url de destination par exemple http://games.yahoo.com/) 


37.1.6. Configuration des messages d'erreurs 

Configurez Squid pour qu'il affiche des pages (messages d'erreur) en Frangais. Verifiez le fonctionnement. 


error_directory /usr/ share/squid/ errors/French 


Identifiez la page qui est retournee lors d'un refus d'acces. Modifiez la page et le message retourne, puis verifiez le 
fonctionnement. 


37.1.7. Automatisation de la configuration des clients. 

Creez un fichier . pac pour la configuration des clients Mozilla. Vous en avez un complet dans la FAQ de squid. Celui-ci fait 
le minimum. 

function FindProxyForURL (url, host) 

{ 

return "PROXY 192.168.0.1:3128; DIRECT"; 

} 


Mettez le fichier sur votre routeur dans / var / www/mo z ilia . pac et verifiez que le serveur apache est bien demarre. Si la 
resolution de nom fonctionne, vous pouvez mettre le nom du serveur de configuration plutot que l'adresse IP. 

Configurez le client : 


Figure 37-2. Configuration du client 


Testez le bon fonctionnement du client. 

Remettez la configuration du client dans sa situation initiale. 


37.1.8. Installation et configuration du service proxy Squid transparent. 

Modifier la configuration du client et du serveur, afin que la configuration globale devienne celle d'un proxy tranparent. 

Vous allez modifier le fichier de configuration de squid et configurer votre routeur avec les regies suivantes si le service proxy 
est sur le routeur : 

# A mettre dans le fichier de configuration de suid 

# Relancer le service apres 
httpd_accel_host virtual 
httpd_accel_port 80 
httpd_accel_with_proxy on 
httpd_accel_uses_host_header on 

# Les regies iptables 

# On nettoie la table nat 

# On utilise le port 3128, par utilise par defaut sous Squid, 
iptables -t nat -F PREROUTING 

# ou toutes les tables nat si besoin 
iptables -t nat -F 

# On laisse passer (masque) les requetes autres que sur le port 80 
iptables -t nat -A POSTROUTING -j MASQUERADE 

# On redirige les requetes sur le port 80 

iptables -t nat -A PREROUTING -j DNAT -i ethl -p TCP — dport 80 \ 

— to-destination 192.168.0.1:3128 

Supprimer toute configuration de proxy sur le client. Verifier le bon fonctionnement du client. 

Arretez les service proxy, verifiez que les requetes HTTP des clients ne sortent plus. 

II est possible de separer les services du routage et proxy sur 2 machines differentes. Le principe est identique, seules les regies 
sur le routeur changent un peu. Vous trouverez la description d'une telle configuration dans : 


# Transparent proxy with Linux and Squid mini HOWTO 
http : / /www. tldp . org/HOWTO/mini/TransparentProxy . html 

# Lire aussi sur netfilter 

http : / /www . netfilter . org/ documentation/HOWTO/ f r/NAT-HOWTO . txt 
http : / /www . cgsecurity . org/Articles /net filter . html 


37.1 .6. Configuration des messages d'erreurs 
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37.1.9. Mise en place de I'authentification 

Mettez en place une ACL pour declarer I'authentification des personnes. 

# Ici on utilise le module ncsa_auth 

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/users 

auth_param basic realm Squid proxy-caching web serve 

auth_param basic children 5 

acl foo proxy_auth REQUIRED 

http_access allow foo 

Creez les fichiers de compte et de mots de passe avec un compte utilisateur. 

htpasswd -c /etc/squid/users unUTILISATEUR 

# mettez ensuite son mot de passe. 

# Testez le f onctionnement du fichier et du module 

# Vous passez en parametre le nom du fichier de comptes 

# Vous mettez le compte et le mot de passe, le module retourne OK 

# En cas d'erreur il retourne ERR 

root@uranus : /etc# /usr/lib/squid/ncsa_auth /etc/squid/users 
mix password 
OK 

mix mauvais 
ERR 


Figure 37-3. Authentification SQUID 


II y a pas mal de differences entre les parametres des versions de Squid 1, squid 2 et Squid 2.5. II est important de consulter les 
fichiers de documentation fournis avec le produit. 

L'authentification ne fonctionne pas avec la configuration d’un proxy transparent. 


37.2. Liens 

1 . Squid 

2. LeCRU 

3. SquidGuard - Universite de Toulouse 

4. Les HOWTOs 


37.3. Annexes 

37.3.1. Fichier squid, conf - teste avec Squid 2.5 

Fichier minimal pour Squid 

http_port 3128 

#Ne pas "cacher" les donnees des formulaires 
acl QUERY urlpath_regex cgi-bin \? 
no_cache deny QUERY 
cache_mem 8 MBM 

maximum_ob ject_size_in_memory 8 KB 

cache_dir ufs /var/spool/squid 100 16 256 

cache_access_log /var/log/squid/ access . log 
cache_log /var/log/squid/cache . log 
cache_store_log / var/ log/ squid/store . log 

# Ici mettez le nom de votre machine 
visible_hostname uranus . f reeduc-sup . org 

pid_filename /var/run/squid . pid 

#Recommended minimum configuration: 

acl all src 0 . 0 . 0 . 0/0 . 0 . 0 . 0 

acl manager proto cache_object 

acl localhost src 127.0.0.1/255.255.255.255 

# Test des fichiers @ip et mots cles 
acl porn url_regex " /etc/squid/mot_cle" 

acl salleTP_PAS_OK src " /etc/squid/adresse_ip M 
http_access deny porn 
http_access deny salleTP_PAS_OK 

# Authentification 
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auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/users 

auth_param basic realm Squid proxy-caching web serve 

auth_param basic children 5 

acl foo proxy_auth REQUIRED 

http_access allow foo 

#Default : 

#http_access deny all 
tMessages d'erreurs en FR 

error_directory /usr/share /squid/ errors /French 

# Pour le proxy cache transparent 
httpd_accel_host virtual 
httpd_accel_port 80 
httpd_accel_with_proxy on 
httpd_accel_uses_host_header on 


37.3.2. Exemples d'ACLs Squid 2.2 

Utiliser des fichiers externes pour la declarations d'adresse ou de mots cles. 

acl salleTP_OK src " /etc/squid/salleTP_OK . txt " 

acl porn url_regex " /etc/squid/porn . txt " 

acl salleTP_PAS_OK src " /etc/squid/ salleTP_PAS_OK . txt " 

http access salleTP_OK 

http access porn 

http deny salleTP_PAS_OK 


37.3.3. ACL par authentification Squid 2.2 

Utilisation d'une authentification simple similaire a celle mise en oeuvre dans les . htaccess. Creer le fichier par script ou 
manuellement avec htpasswd. 

authenticate_program /usr/bin/ncsa_auth /etc/squid/users 
authenticate_children 5 
acl_authenticate_users REQUIRED 
http_access authenticate_users 


37.3.4. ACL sur des plages horaires Squid 2.2 

Combinaison par « ET » logique des plage horaire et des salles. Mettre la machine a l'heure avec ntpdate par exemple. 

# Interdire les acces en dehors des plages horaires 8h-12h et 14h-18h 

S Sunday M Monday T Tuesday W Wednesday H Thrusday F Friday A Saturday 

acl am time MTWHF 08:00-12:00 

acl PM time MTWHF 14:00-18:00 

http_access allow am salleTP_PAS_OK 

http_access allow pm salleTP_PAS_OK 


Chapitre 38. Installation d'un serveur PostgreSQL avec 
Apache 

>Serveur WEB dynamique avec PostgreSQL et PHP 

>Serveur WEB dynamique avec PostgreSQL et PHP 


Creation d'un site web dynamique avec PostgreSQL et Apache. Pour PostgreSQL vous pouvez aussi utiliser 
la ressource Linux-Lrance.org qui detaille de fa£on assez complete un mode d'utilisation de ce serveur de 
bases de donnees. 


38.1. Avant de demarrer 

Si vous utilisez la Lreeduc-Sup rc3, un bogue empeche PostgreSQL de se lancer. Vous devez avoir un message d’erreur dans 
"/var/log/postgres" qui vous indique qu’il n’arrive pas a trouver un fichier "pg_control". 

Voici comment corriger cela : sous le compte root taper 

mv /var/lib/postgres/data /var/lig/postgres/data . old 
dpkg-reconf igure postgresql 
OK 
OK 


Chapitre 38. Installation d'un serveur PostgreSQL avec Apache 
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Yes 

OK 

f r_FR@euro 
OK 

LATIN1 

OK 

ISO 

European 

OK 

NO 

#C'est termine, vous pourrez lancer PostgreSQL normalement . 

Cela sera corrige sur la prochaine version. 


38.2. Les ressources sur PostgreSQL 

Vous avez un support de cours, TD et TP assez complet sur Linux-Francequi decrit bien le mode d'utilisation de PostgreSQL. 


38.3. Acces aux archives 

Vous pourrez recuperer les documents necessaires sous forme d'archive sur le serveur de linux-france. Pour cela voir la page 
d'introduction du document. 


38.4. Presentation 

Acces a une base de donnees PostgreSQL a partir d'un client WEB (Mozilla ou autres) 

On veut a partir d'un client "Web" comme Mozilla (ou autres) interroger une base de donnees PostgreSQL. Le client HTTP 
passe (via des formulaires) des requetes SQL a un serveur Web sous Linux (Apache). Celui-ci dispose d'une interface "PHP" 
qui lui permet d'interroger la base de donnees. En fait Apache va "lancer" l'execution de "scripts PHP" et eventuellement 
recuperer et retourner les resultats d'execution au client. 

Les processus mis en jeu cote serveur sont les suivants : 

HTTPD qui va permettre les acces via le Web (Gestion des formulaires) 

Postmaster qui est le daemon gerant tous les acces a la base. 

Le serveur disposera egalement des documents HTML et des scripts PHP 

• Le travail a realiser en TP consistera done a : 

• - Creer une base de donnees Postgres 

• - Demarrer le daemon postmaster permettant sa gestion 

• - Demarrer le daemon HTTPD 

• - Acceder a la base de donnees (via httpd) a l'aide de scripts PHP. 


38.5. Presentation de PostgreSQL 

PostgreSQL est un systeme de gestion de base de donnees, developpe a forigine par l’universite de Berkeley. II s'appuie sur les 
modeles relationnels mais apporte des extensions objet comme : 


• les classes, 

• l’heritage, 

• les types de donnees utilisateurs (tableaux, structures, listes..), 

• les fonctions, 

• supporte completement SQL, 

• portable sur plus de 20 environnements depuis la version 6.4. 

Cela permet de qualifier PostgreSQL de systeme de gestion de base de donnees "relationnel-objet" (ORDBMS), a ne pas 
confondre avec les bases de donnees orientees objets qui ne supportent pas SQL, mais OQL (Object Query Language). 

PostgreSQL est diffuse avec ses sources (licence libre). 


38.5.1. Mode de fonctionnement de PostgreSQL 

Les trois composantes majeures sont : 

• un processus de supervision (daemon) qui prend en charge les connexions des clients : postmaster, 

• les applications clientes comme psql, qui permettent de passer des requetes SQL, 

• le ou les serveurs de bases de donnees (agents). Processus d’ouverture de session : (voir le schema d'ouverture de 
session.) 
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38.5.1.1. Description du processus d'ouverture de session 


1. Le client passe une requete au daemon postmaster via un socket. Par defaut sur le port 5432. La requete contient le 
nom de l'utilisateur, le nom de la base de donnees. Le daemon, peut a ce moment utiliser une procedure 
d'authentification de 1'utilisateur. Pour cela il utilise le catalogue de la base de donnees, dans lequel sont definis les 
utilisateurs. 

2. Le daemon cree un alors un agent pour le client. Le processus serveur repond favorablement ou non en cas d'echec du 
demarrage du processus, (exemple : nom de base de donnees invalide). 

3. Le processus client se connecte sur le processus agent. Quand le client veut clore la session, il transmet un paquet 
approprie au processus agent et ferme la connexion sans attendre la reponse. 

4. Plusieurs processus agents peuvent etre initialises pour un meme client. 


38.5.1.2. Le dictionnaire : 

Comme pour la plupart des systemes de gestion de donnees, toutes les informations systeme sont stockees dans des tables qui 
ferment le dictionnaire (catalogue ou repository en Anglais). Utiliser le cataloque est essentiel pour les administrateurs et les 
developpeurs. Vous pouvez voir la structure et le content! de ces tables systeme. 


38.5.1.3. PostgreSQL fournit : 

un langage d'administration (creation de base, d'utilisateurs) 
un langage d’interrogation de donnees base conforme a SQL 
des extensions C, C++, perl, php, python... 


38.5.1.4. Les comptes utilisateurs : 

Le compte administrateur de la base est par defaut " postgres " 
il faut creer les comptes utilisateurs 

Voir le TP sur HTTP pour obtenir le compte systeme qui est utilise par Apache pour les requites http. Sur lafreeduc—sup c'est 
"www—data". Dans la suite du document on utilisera $COMPTE_HTTP pour parler de ce compte systeme. 


38.5.2. Langage de commande pour PostgreSQL 

Voici quelques commandes d'administration de base : 

Creation d'une base de donnees : createdb 
createdb [ dbname ] 

createdb [ -h host ] [ -p port ] [ -D datadir ] [ -u ] [ dbname ] 

Exemple : createdb -h uranus -p 5432 -D PGDATA -u demo 
ou encore createdb demo 
Suppression d'une base de donnees 
dropdb [ dbname ] 

Exemple dropdb demo 
Creer un utilisateur : 
createuser [ username ] 

createuser [ -h host ] [ -p port ] [ -i userid ] [ -d I -D 1 [ -u I -U ] [ username ] 

-d I -D permet ou interdit la creation de base a 1'utilisateur 

-u I -U permet ou interdit la creation d'autres comptes a l'utilisateur. 

Cree un compte dans pg_user ou pg_shadow. (tables systeme) 

Si la base est accessible par Internet (exemple avec PHP), faeces est realise par le compte " $COMPTE_HTTP ". 

Utiliser la commande "select * from pg_user;" pour avoir la liste des utilisateurs. 
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Supprimer un utilisateur 
drop user [ username ] 

Acceder d une base: 
psql [ dbname ] 

psql -A [ -c query ] | -d dbname ] -e [ -f filename ] [ -F separator ] [ -h hostname ] [ -o filename ] [ -p port ] -qsSt ] 
[ -T table_options ] -ux [ dbname ] 

mlx@mr:~$ psql templatel 

Welcome to psql, the PostgreSQL interactive terminal. 

Type: \copyright for distribution terms 

\h for help with SQL commands 
\? for help on internal slash commands 
\g or terminate with semicolon to execute query 
\q to quit 

templatel=# 


38.6. Presentation de PHP 

PHP, (Personal Home Page) est un langage de programmation complet, assez proche du C. II fournit : 

• des structures de donnees, 

• des structures de controle, 

• des instructions de gestion des entrees/sorties. 

II est diffuse egalement sous licence libre. II permet la creation de pages web dynamiques. 

II est considere comme une alternative a CGI, Perl, ASP (Active Server Page de Microsoft); 

Developpe a l'origine pour Linux, il est maintenant portable sur plusieurs environnements ( Windows 9.x, NT). 

II fournit des API pour les bases de donnees Oracle, PostgreSQL, MySQL, DB2 ;, et est conforme aux standards ODBC et 
ISAPI 

II fonctionne avec de nombreux serveurs HTTP comme Apache ou IIS (Internet Information Server) de MS. 

PHP peut etre utilise seul ou combine avec des bases de donnees et un serveur HTTP (Objet du TP). 

Simple a mettre en oeuvre, documents, securise et fiable, de nombreux sites (FAI) comme libertysurf, free mettent cet outil a la 
disposition des clients. 


38.6.1. Mode de fonctionnement de PHP 

Sur Linux, PHP est compile comme un module dynamique ou directement integre a Apache, ce qui accroit les performances. 

Le code PHP peut etre integre directement dans une page HTML comme vb-script ou a l'exterieur sous forme de fonctions 
(comme CGI). 

Le code est loge entre deux balises < ? Ici le code ?>. II est possible que pour assurer la compatibility avec XML, les balises 
deviennent : <php et ?> 

L'extension generalement utilisee pour les documents PHP est .php. Voir ci-dessous l'exemple " test.php " qui permet de 
verifier le support de PHP par votre environnement. 

Listing : test.php 

<? 

echo (" Test du module PHP " ) ; 
phpinf o ( ) ; 

?> 


38.6.2. Le langage PHP 

Le guide utilisateur et ses extensions comprennent plus de 300 pages (voir les sources de documentations plus bas). La 
description ci-dessous donne les principals instructions pour les acces a une base de donnees PostgreSQL. 

pgjConnect : Connexion d une base de donnees : 


154 


38.6. Presentation de PHP 






Tutoriel sur les serveurs 


int pg_connect(string host, string port, string options, string tty, string dbname); 

Retourne faux si la connexion echoue, un index dans l'autre cas. 11 peut y avoir plusieurs connexions. 
Exemple : $conn = $conn = pg_Connect("localhost", "5432","","", "templatel"); 

Ou : $conn = pg_connect("dbname=marliese port=5432"); 
pg_Close : Fenner une connexion 
bool pg_close(int connection); 

pg_cmdTuples : Donne le nombre de tuples affectes par une commande insert, 
update ou delete. Renvoie 0 sinon. 
int pg_cmdtuples(int result_id); 

Exemple : 

<?php 

$result = pg_exec($conn, "INSERT INTO verlag VALUES ('Autor')"); 

Scmdtuples = pg_cmdtuples($result); 
echo Scmdtuples . " affectes."; 

?> 

string pg_dbname(int connection); 

Donne le nom de la base de donnees. 

Exemple SNomBase = pg_Dbaname ($conn); 
pg_ErrorMessage : 

string pg_errormessage(int connection); 

Message d'erreur renvoye par le serveur 
pg_Exec : int pg_exec(int connection, string query); 

Execute une requete. 

SUneChaineSQL = "Select * from UneTable"); 

Exemple : Sresult = pg_exec($conn, SUneChaineSQL); 
pg_FieldName : string pg_fieldname(int result_id, int field_number); 

Renvoie le nom du champ d'indice field_number ; 

Exemple : 
indice = 0 

While (indice [It ] NombreDeChamp) 

{ 

SNomChamp = pg_fieldname($result, indice) 
echo SNomChamp 
indice ++; 

} 

pg_FieldNum : int pg_fieldnum(int result_id, string field_name); 

Donne l'indice pour un nom de champ. 
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pg_Host : string pg_host(int connection_id); 

Donne le nom du Host 

pg_NumFields : int pg_numfields(int result_id); 

Renvoie le nombre de champs de la requete. 

Exemple : $numF = pg_Numfields($result); 
pg_NumRows : int pg_numrows(int result_id); 

Renvoie le nombre de tuples (enregistrements) de la requete. 
Exemple : $numR = pg_NumRows ($result); 
if ($numR == 0) 

{ 

echo "Aucun enregistrement retourne. 
exit; 


pg_Result : mixed pg_result(int result_id, int row_number, mixed fieldname); 

Renvoie la valeur d'un champ, pour un n° d'enregistrement donne et un resultat de requete. Les numeros d'enregistrement et de 
champ commencent a 0. 

Exemple avec $i - indice d'enregistrement et $j - indice de champ : 

$Valeur = pg_result ($conn, $i, $j) 
pg_Options : pg_Options (int connection_id); 

Renvoie une chaine contenant les options de connexion a la base. 
pg_FreeResult : int pg_freeresult(int result_id); 

Liberer la memoire. 

Autres fonctions de base : 

pg_Fetch_Array, pg_Fetch_Object, pg_Fetch_Row, pg_FieldsNull, pg_PrtLen, 
pg_FieldSize, pg_FieldType, pg_GetLastOid, pg_port, pg_tty. 

Vous trouverez la documentation de ces commandes dans celle de PHP. 


38.7. Dialogue client et serveurs PHP, Apache et PostgreSQL 

• Une requete SQL est passee par un formulaire HTML ou autre et via le protocole HTTP 

• Le serveur Apache recoit la requete HTTP 

• Le module PHP execute la requete sur la base PostgreSQL en utilisant les API 

• Le code PHP met en forme le resultat de la requete 

• La page est remise au serveur Apache 

• Le serveur Apache retourne le resultat au client. 

Vous avez deux methodes pour passer les parametres au serveur : la methode "GET" et al methode "POST". 


38.8. Exemple de code 

Voici un exemple de formulaire html et le script PHP associe. 

Le formulaire : formsql.html 

<!doctype html public n -//w3c//dtd html 4.0 transitional//en"> 
<html> 

<head> 

</head> 

<body> 

Lancement d’un formulaire de requete SQL via un serveur HTTP 
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Utilise une base Demo 
<br> 

Entrez une chaine sql valide - Exemple : 

<form action=" resultsql . php" METHOD=post> // Ici le script qui sera execute 
<textarea cols="50" rows="5" 

name= M c_SQL">Select * from phonebook ; </textarea></p> 

<br> 

<INPUT TYPE=" submit" VALUE=" Search ! "> 

</f orm> 

</body> 

</html> 


Figure 38-1. Formulaire de saisie 


Le script associe : Page resultsql. php 

'Solution qui permet de s'affranchir du nombre de champs. 
<? 

/* Test de la connexion a la base */ 
if ( $c_SQL ! = "") 

{ 

echo $c_SQL ; 

$conn = pg_Connect (" localhost 5432 "demo" ) ; 
if ( ! $conn) 

{ 

echo "Erreur de connection a la base. \n"; 
exit; 

} 


/* teste le resultat de la requete */ 
$result = pg_Exec ( $conn, $c_SQL) ; 
if ( ! $result) 

{ 

echo "Erreur d'acces aux tables. \n"; 
exit; 

} 


/* teste le nombre de tuples retournees */ 
$numR = pg_NumRows ($result); 
if ($numR == 0) 

{ 

echo "Aucun enregistrement retourne. \n"; 
exit; 

} 


/* Compte le nombre de champs */ 

$numF = pg_Numf ields ( $result ) ; 

/* mise en forme du resultat sous forme tabulaire */ 
/* lignes (tuples), colonnes (champ) */ 
echo "<table border = 1>"; 

$i = 0; 

while ($i < $numR) { 

echo "<tr>"; 

$j = 0; 

while ($j < SnumF) { 

$nc=pg_result ($result, $i, $ j) ; 

echo "<td>"; echo $nc; echo "</td>"; $j++; 

) 

echo "</tr> \n"; 

$i + + ; 

} 

echo "</table> \n"; 

/* Libere la memoire */ 
pg_FreeResult; 

/* Ferme la connection */ 
pg_Close ($conn) ; 

} 

?> 


Figure 38-2. Resultat de la requete 
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Chapitre 39. Travaux pratiques : PostgreSQL 

39.1. Presentation 

Acces a une base de donnees PostgreSQL a partir d'un serveur Apache. Utilisation du langage PHP. 

La maquette terminee devrait permettre, a partir d'un client HTTP comme Netscape de passer des requetes SQL a un serveur 
Apache. Le serveur Apache dispose d'une interface PHP, qui lui permet d'echanger avec une base de donnees PostgreSQL . 

Vous devrez recuperer pour le TP les documents suivants : 


1. Le script de creation de la base de demo "formdemo.sql" 

2. le document HTML "formsql.html" 

3. le document php "resultsql.php" 

39.2. PostgreSQL 

Connectez-vous en tant que root. 

1 Preparation de la configuration 

Installez les packages correspondant a PostgreSQL et a PHP s'ils ne sont pas deja installes. 

2 Configuration de Postgres 

2.1 Postgres est installe. Le script de lancement est dans "/etc/init.d" 

Editez ce script et relevez : 

l'emplacement ou sont stockees les bases de donnees. 

Recherchez le port et les protocoles de transports utilises par PostgreSQL avec la commande "grep postgres /etc/services " 

Veriftez que le fichier "/etc/postgresql/postmaster.conf" comporte bien la ligne "POSTMASTER_OPTIONS="-i -p 5432". 
Cela permet de definir le numero de port, et d'inquer a PostgreSQL de supporter les sessions sockets (-i). 

Vous allez configurer les options de securite permettant au serveur de recevoir des requetes. Ouverz le fichier 
"/var/lib/postgres/data/pg_hba.conf". Recherchez les lignes ci-dessous : 

# Put your actual configuration here 

# 

host all 127.0.0.1 255.0.0.0 ident sameuser 

host all 0.0. 0.0 0.0. 0.0 reject 

Modifiez ces lignes apres avoir fait une copie de sauvegarde de ce fichier, de la facon suivante : 

host all 127.0.0.1 255.0.0.0 trust 

host all x.y.z.t x'.y'.z'.t' trust 

Vous adapterez "x.y.z.t" a l'adresse de votre reseau et "x'.y'.z'.t"' au masque de votre reseau. 

2.2 II s'agit maintenant d'activer le service. Utilisez les commandes : 

/etc/init.d/postgresql stop 

/etc/init.d/postgresql start 

Veriftez le chargement de postgres dans la table des processus : "ps aux I grep post" 

Veriftez dans les journaux les messages d'erreurs si le serveur ne demarrer pas. 

Veriftez egalement : 

- qu' un service n'est pas deja actif, 

- que les variables sont bien declarees. En general les messages de Postgres sont assez clairs et donnent la marc he a suivre 
pour corriger. N'allez pas plus loin tant que tout cela ne fonctionne pas parfaitement. 

3 Tester la configuration 
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La procedure precedente a cree un modele de base de donnees "templatel", qui sert de modele pour la creation d'autres bases, 
et a cree un compte d'administrateur de base de donnees "Postgres". Toujours en mode commande et en tant qu'utilisateur 
postgres ( su postgres), vous allez utiliser la commande suivante : 

psql templatel 

Attention, il n’y a qu’un seul compte de base de donnees, celui de l'administrateur "postgres". Vous allez ouvir uen session sous 
le comtpe "root" puis passer sous le compte "postgres" avec la commande "su postgres". 

Vous devriez obtenir ceci : 

# su postgres 
sh-2.05b$ psql templatel 

Welcome to psql, the PostgreSQL interactive terminal. 

Type: \copyright for distribution terms 

\h for help with SQL commands 
\? for help on internal slash commands 
\g or terminate with semicolon to execute query 
\q to quit 

templatel=# 


Le caractere "=>" est le prompt du mode commande. Vous pouvez desormais taper des commandes. 

Retenez "\q" pour quitter. 

Pour avoir de l'aide sur l’interpreteur de postgres : templatel = > \? 

Pour avoir de l'aide sur les commandes SQL : templatel = >\h 

Si l’aide s’affiche, c'est que tout fonctionne. Par contre vous ne pouvez pas faire grand chose, la base et vide. Vous pouvez le 
verifier avec la commande "\dt". 

templatel = >\dt 

Couldn 'tfind any tables! 

templatel =\q 

Tout autre message, signifie qu’il y a un probleme de configuration. Si c'est le cas verifiez soigneusement tous les parametres. 
4 Conclusion 

Votre environnement fonctionne et est bien configure. La prochaine etape consiste a se familiariser avec les premieres 
commandes d’administration et d’utilisation. 

39.3. Test de la base 

1 Creer une base de donnees 

1 - Creation de la base : 

Vous devez avoir recupere le script de creation de la base "formdemo.sql" 
su postgres (Vous devez etre administrateur de la base) 
createdb demo (creation d’une base de donnees s'appelant demo ) 

2 - Creation des tables de la base demo : 
psql demo < formdemo.sql 

2 Test de la base de donnees 

Vous allez, au prealable, tester le fonctionnement de tout cela a partir du compte Administrateur "postgres". Pour cela utilisez 
les commandes suivantes: 

psql demo 

# Pour afficher les tables 
= >\dt 
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# consultez la table phonebook. Vous devriez avoir le resultat. 
=>select * from phonebook; (Ne pas oublier ;) 

#quitter 


=> \q 


3 Creer un compte d'utilisateur de base de donnees 

Vous allez creer et utiliser deux comptes utilisateurs de bases de donnees. " $COMPTE_HTTP" qui est utilise pour les acces 
HTTP, "TP I " que vous utiliserez comme compte local. Vous leur affecterez pour l'instant les droits minimums. 

3.1 Normalement le compte systbme$COMPTE_HTTP existe deja, vous pouvez verifier avec "grep $COMPTE_HTTP 
/etc/passwd" . Si ce n'est pas le cas, vous devrez creer un compte systeme pour $COMPTE_HTTP. 

3.2 Creation du compte systeme "TP1" 

# Creation du compte 
adduser TP1 

# affectation d'un mot de passe, 
passwd TP1 

3.3 Vous allez creer les comptes de base de donnees pour $COMPTE_HTTP et TP1. Attention aux reponses que vous mettrez 
car $COMPTE_HTTP ne doit pas avoir la possibilite de creer des tables, ni creer d'autres comptes de bases de donnees. 

3.3.1 Creation du compte anonyme $COMPTE_HTTP 

#passer en DBA (Data Base Administrator) 

su postgres 

$ createuser $COMPTE_HTTP 

Enter user's postgres ID or RETURN to use unix user ID: 99 -> 

Is user "$COMPTE_HTTP" allowed to create databases (y/n) n 
Is user "$COMPTE_HTTP" allowed to add users? (y/n) n 
createuser: $COMPTE_HTTP was successfully added 
#c’est termine, voila le resultat : 
demo=# \q 

sh-2.05b$ createuser www-data 

Shall the new user be allowed to create databases? (y/n) n 
Shall the new user be allowed to create more new users? (y/n) n 
CREATE USER 
sh-2 . 05b$ 


3.3.2 Creation d'un compte DBA TP1 
#passer en DBA (Data Base Administrator) 
su postgres 

%createuser TP1 

Enter user's postgres ID or RETURN to use unix user ID: 501 -> 

Is user "TP1" allowed to create databases (y/n) y 
Is user "TP1" allowed to add users? (y/n) y 
createuser: TP1 was successfully added 
#c’est termine 

3.3.3 $COMPTE_HTTP n'a aucune permission sur les bases de donnees. Vous allez lui donner la permission de faire des 
"select". 
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Utilisez les commandes suivantes : 
psql demo 

grant select on phonebook to $COMPTE_HTTP ; 

demo=# grant select on phonebook to "www-data"; 

GRANT 

demo=# 

\q 

4 Tester Vacces des comptes 

Ouvrez une session avec le compte TP1 que vous avez cree. 
psql demo 

# Pour afficher les tables 
=>\dt 

# consultez la table phonebook. Vous devriez avoir le resultat. 

=>select *from phonebook; (Ne pas oublier le ;) 

#quitter 
=> \q 

39.4. Serveur Apache et PHP 

Demarrez le serveur Apache : /etc/init.d/apache restart 
Verifiez que le serveur est bien actif et operationnel. 

Cherchez et relevez l'emplacement de stockage (Home Directory ) des pages html d'Apache. 

Verification de la prise en charge de php par apache : 

Normalement il n'y a plus rien a faire. II s'agit de verifier que le module PHP est bien pris en charge par Apache. Voici 
comment proceder: 

1 - Creer dans Home Directory d'Apache le document testphp.php suivant: 

<? echo ("Test du module PHP"); 
phpinf o ( ) ; 

?> 

2 - Lancez un navigateur (a partir de votre poste ou d'une autre machine) et tapez l'url "http://@IP de votre PC/testphp.php » . 
Deux solutions : 

• soit le resultat est bon, la fonction "phpinfo()" vous retourne des informations sur le module et sur Apache. Dans ce 
cas vous pourrez continuer, 

Figure 39-1. Interrogation de PHP 

• soit ce n'est pas le cas, il faut revoir la configuration. 

39.5. Serveur PostgreSQL/Apache et PHP 

Le serveur HTTP et le client fonctionnent, php est pris en charge par le serveur Apache. Maintenant, nous allons creer un 
formulaire qui permet de passer des requetes SQL sur la base et un script qui execute ces requetes. 

1 Test de la demo 

1.1 En fait il s'agit de deux documents (formsql.html et resultsql.php) : 


39.4. Serveur Apache et PHP 
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• le premier est une page HTML qui permet de saisir et "passer" des requetes SQL, 

• le deuxieme au format PHP, met en forme le resultat de la requete. 

1.2 Installez les pages fournies dans le repertoire d' Apache. 

Lancez ensuite un navigateur. Tapez furl http://@IP du PC/formsql.html. Vous pouvez saisir une chaine sql et "envoyer" le 
formulaire. 

2 Modifications 

a) Copier insert.html dans le repertoire d' Apache, modifiez les permissions du compte $COMPTE_HTTP afin de lui donner la 
possibilite d'inserer des tuples dans la base de donnees. Modifiez le document resultsql.php afin de pouvoir realiser des 
insertions dans la base. Les enregistrements a inserer seront saisies dans insert.html. 


Figure 39-2. Formulaire insert.html 


39.6. TP de synthese 


Duree de realisation 20h en binomes 

Vous allez creer une base de donnees conforme au schema relationnel suivant : 

cours (cou_no, cou_lib) 
etudiant (etu_no, etunom) 
incrit (cou_no, etu_no) 

On demande de developper l'interface web qui permet de : 

1. aj outer nouveau cours 

2. supprimer un cours 

3. modifier le libelle d'un cours 

4. aj outer un etudiant a un cours 


Chapitre 40. Surveillance, continuity de service 


Heartbeat, logiciel de gestion de cluster pour la haute disponibilite (d'apres Linux Magazine Hors Serie 18 - 
Haute Disponibilite) 

La continuite de service consiste a garantir la disponibilite de votre serveur. Si celui-ci tombe en panne, il 
faut etre capable de basculer rapidement sur une machine de secours. De meme, il faudra gerer la remise en 
service du serveur principal. C'est le role de HEARTBEAT que je vous propose d'installer ici... 


40.1. Principe de fonctionnement 

Afin de garantir la continuite de service, nous allons utiliser des machines strictement identiques au niveau du contenu et des 
services offerts. Le role de hearbeat, c'est la surveillance de la machine principale par la (ou les) machine(s) de secours, et son 
activation en cas de defaillance du serveur principal. La synchronisation des contenus et des reglages n’est pas assuree par 
Heartbeat. Ces machines fonctionneront en cluster, c'est a dire qu'elles formeront a elles toutes une pseudo machine. Ainsi, 
definissons notre pseudo machine : 192.168.1.100. Nos deux machines reelles auront pour adresses respectives 192.168.1.1, et 
192.168.1.2. 


Exemple 40-1. le cluster 

le cluster (virtuel) www : 192.168.1.100 
la premiere machine srv— principal : 192.168.1.1 
la deuxieme machine sr\’-secours : 192.168.1.2 

C'est le cluster qui sera visible pour les clients. Ainsi, vous mettez a disposition la machine www (192.168.1.100). On decidera 
par exemple que c'est reellement la machine srv— principal (192.168.1.1) qui assure ce service, secondee par sr\’-secours 
(192.168.1.2). Si d’aventure srv— principal tombait, alors tres rapidement sr\’-secours le detectera, se donnera l’adresse IP de 
www (192.168.1.100), lancera des services selon sa configuration. Au retour de srv— principal , on pourra, selon le fichier de 
configuration, continuer le service sur le serveur de secours, ou redonner la charge au serveur principal. La encore, si il y a 
transfert d’identite, les scripts seront executes a nouveau (arret sur sr\’-secours, et lancement sur srv— principal). 
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40.2. Le materiel 

40.2.1. Assurer la surveillance entre machines du cluster 

Plusieurs solutions : 

• Soit utiliser le reseau existant entre les machines, mais alors l'ensemble du reseau risque d'etre pollue par des 
messages UDP, 

• Soit utiliser de nouvelles cartes reseaux pour relier les differents noeuds du cluster (leur propre reseau de surveillance) 

• Soit utiliser un cable NULL MODEM pour relier les deux noeuds du cluster par l'interface serie (pour seulement deux 
machines) 

II est preferable de privilegier une communication specifique entre les noeuds du cluster, afin de ne pas polluer le reseau avec 
les diffusions UDP associees au service Heartbeat. Ce faisant, on rencontre le probleme suivant : On ne teste pas la rupture du 
cable reseau, ou un probleme de carte reseau. Seul l'arret complet de la machine est teste (plus de signal sur le port serie). 


40.2.2. La surveillance sur le reseau de production 

Cette methode a l'inconvenient de polluer le reseau, et de modifier les eventuelles regies du firewall, car Heartbeat utilise des 
frames UDP sur le port 694 (configurable). Cet inconvenient est compense par la surveillance de la rupture du cable, ou d'une 
defaillance quelconque du reseau en lui-meme. 


40.2.3. Le NULL-MODEM sur le port serie 

Le cable NULL MODEM permet d'echanger des donnees sur les prises series de deux machines. Sous Linux, le port serie est 
accessible (/ dev/ttySO ) comme tout peripherique. Pour le tester, envoyez des donnees par une redirection : 


Exemple 40-2. Apres avoir connecte le NULL MODEM 

Sur la premiere machine, lire le port serie : 

cat /dev/ttySO 

Sur l'autre machine, envoyer des donnees dans le port serie : 

echo "test" > /dev/ttySO 

Sur la premiere machine, le mot test devrait apparaitre... 

40.2.4. Le reseau de surveillance 

Vous pouvez choisir de monter un reseau specifique charge de faire circuler les informations de controle des differents noeuds. 
Grace a des cartes reseaux et un hub ou un switch (voir un simple cable croise si il n’y a que deux noeuds). Dans ce cas, vous 
pouvez choisir par exemple d’adresser ce reseau en 10.0.0.0, et de construire la structure suivante : 


Exemple 40-3. le cluster en reseau double 

le cluster (virtuel) www : 192.168.1.100 
la premiere machine srv— principal : 

• ethO: 192.168.1.1 

• ethl : 10.0.0.1 

la deuxieme machine sr\’-secours 

• ethO: 192.168.1.2 

• ethl : 10.0.0.2 

Ici, le controle du fonctionnement de votre reseau de surveillance se fera par les outils habituels tel que ping, comme pour le 
reseau de production. 


40.3. Le logiciel 

40.3.1. L’installation 

Sur une debian stable, l’installation se fait par la methode standard : 

apt-get install heartbeat 


40.2. Le materiel 
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Debconf va ensuite vous aider a configurer ce service. J'ai prefere construire mes fichiers de configuration manuellement. 

40.3.2. les fichiers de configuration 

II y a trois fichiers de configuration principaux : 

• ha.cf contient les reglages de la machine reelle. 

• haresources contient les reglages du cluster (la machine a simuler). 

• authkeys contient les modes d'authentification (utile si on utilise le reseau de production. 

II est important de noter qu 'haresources decrit le cluster tel qu'il doit etre vu (notamment la ’fausse' adresse IP), tandis qu 'ha.cf 
decrit le fonctionnement du noeud reel. Ainsi, /za.c/pourra varier selon les machines (nom de la carte reseau different, logs 
regies differemment) alors que haresources est lui PARTOUT IDENTIQUE (tous les noeuds doivent etre d’accord sur le 
cluster a simuler). 

40.3.2.1. Le fichier ha.cf 

petit tour du proprietaire : 

• choix de medium de surveillance 
la carte reseau 

beast ethO 

le cable NULL MODEM 

baud 19200 

serial /dev/ttySO 

• logs 

Les pepins 

debugfile /var/log/hda-debug 

Les evenements 

logfile /var/log/hda-log 

la facility (la semantique des messages, voir le cours sur syslog) 

logfacility localO 

• delais de reaction (en secondes) 

delai entre deux ’pouls' 

keepalive 2 

duree du silence avant de declarer un noeud ’morf 

deadtime 10 

duree du silence avant de declencher une alerte 

warntime 8 

temporisation lors du lancement du service (si un noeud est lent) 

initdead 30 

• reglages generaux 

port UDP pour le ’pouls’ 

udpport 694 

liste des noeuds participants au cluster 

node srv-principal 
node srv-secours 

le serveur principal reprend la main lors de son retour 

nice_f ailback on 
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La premiere partie permet de definir le mode d'ecoute du logiciel de surveillance. 11 semble que l'emploi du port serie implique 
de bien definir les bauds avant. Vous pouvez combiner plusieurs modes d'ecoute, c'est alors le silence sur tous ces medias qui 
entrainera les actions d 'heartbeat . 

La partie sur les logs permet de bien controler le fonctionnement du logiciel et valider les echanges entre les differents noeuds. 
Vous pouvez choisir les noms de fichiers que vous desirez, ainsi que la facility (pour le traitement par le demon syslogd). 

La gestion de temps de reaction peut etre donnee en millisecondes (par defaut, elle est en seconde) en ajoutant le suffixe ms 
(keepalive 200ms). Attention au initdead qui permet de gerer un noeud un peu lent a demarrer, et ainsi eviter de fexclure 
immediatement du cluster. La documentation preconise de doubler au minimum ce temps par rapport au deadtime. 

Enfin, partie TRES IMPORTANT, la liste des noeuds qui participent au cluster. Lorsque tous les noeuds seront actifs, alors 
heartbeat activera le cluster et les services qui lui sont associes. 

Ce fichier peut legerement differer selon les noeuds, dans les deux premieres parties uniquement. 


40.3.2.2. Le fichier haresources 

Fichier de description du cluster a simuler. IL DOIT ETRE IDENTIQUE SUR TOUS LES NOEUDS !. Ce fichier decrit la 
machine maitre parmi tous les noeuds du cluster, la ou les adresses IP a simuler, et les services a assurer sur ce cluster. 

Dans notre exemple, si on veut que notre cluster www ait l’adresse IP 192.168.1.100. que srv -principal soit la machine qui 
assure prioritairement ce role, et que www soit un serveur Web et mysql, alors tous les noeuds auront le fichier haresources 
suivant : 


Exemple 40-4. haresources pour tous 

srv-principal 192.168.1.100 apache mysql 

Avec un tel fichier, automatiquement, des la mise en route du cluster, le service Web et le serveur de base de donnees seront 
automatiquement actives. Si le serveur principal tombe, alors le serveur de secours prend le relais, lance le Web et Mysql, se 
donne la bonne adresse IP, fait un broadcast ARP pour avertir le reseau... 


40.3.2.3. Le fichier authkeys 

Ce fichier determine le niveau de securite des echanges entre les differents noeuds du cluster. Si vous etes sur un medium 
fiable, vous pouvez utiliser le niveau le plus bas de securite ( crc = simple controle de contenu, par l'utilisation d’une somme de 
controle, aucun cryptage). 11 est possible d’utiliser des systemes plus puissant (crypte avec md5 ou mieux encore (mais plus 
gourmand en temps processeur) sha). Dans les deux derniers cas, il faut fournir une cle... 


Exemple 40-5. authkeys 

auth 1 

1 md5 "Y'a pas d'os dans les bananes" 

2 crc 

3 sha "Mais y ' en a dans les SE" 

Dans cet exemple, les trois modes sont prets a fonctionner, avec les cles associees aux services, et c'est le md5 qui est choisi 
(auth est a 1). Ces cles doivent bien sur etre les memes sur l’ensemble des noeuds participant au cluster. 


40.3.3. Mise en route 

Tous les fichiers de configuration mis en place sur tous les noeuds, vous pouvez alors lancer le service (pour les recopies, vous 
pouvez eventuellement vous aider de scp). le lancement du service se fait de la fa£on habituelle. 

/etc/init . d/heartbeat start 

Des que le cluster est constitue (tous les noeuds sont actifs), alors srv— principal heritera d’une nouvelle adresse IP (en 
ip-aliasing) 192.168.1.100, et les services apache et mysql seront alors lances (si ce n’etait deja fait). Les scripts de lancement 
apache et mysql sont ceux trouves a l’endroit habituel (/etc/init. d). Le cluster fonctionne, et les clients peuvent s’y connecter. 

Vous pouvez surveiller les fichiers de logs (grace a tail —f/varAog/ha—log), et faire joujou en coupant brutalement le courant 
sur le serveur principal. Testez le nicej^ailback, la mise en route de differents services, ainsi que le reseau ( ifconfig sur les 
noeuds, et sniff du reseau pour voir les broadcast ARP lors des changements de serveurs... 


40.4. Exercices 


1. Montez deux machines qui formeront le cluster, connectees a un reseau qui comporte aussi un client. Le client aura 
l’adresse IP 192.168.1.1, les deux serveurs 192.168.1.100 et 101. Le cluster aura l'adresse 192.168.1.200. 

2. Connectez le cable NULL MODEM. Verifiez son bon fonctionnement. 


40.3.2. les fichiers de configuration 
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3. installez Heartbeat. Configurez le simplement, avec le 'pouls' sur le port serie. Pour le moment, on ignore les 
differents services, seule l’adresse IP doit etre geree par le cluster. 

4. Sur le premier serveur, lancer heartbeat. Visualisez en continu le fichier de logs. Controlez les informations reseaux. 

5. Sur le second serveur, lancer heartbeat. Visualisez en continu le fichier de logs. 

6. Controlez le premier serveur : fichier de logs, et parametres reseaux. Que remarquez vous ?. Faites des pings du 
cluster (192.168.1.200), et des deux serveurs. Controlez le contenu du cache arp (aip -a). Que remarquez vous ? 

7. Eteignez violemment le serveur principal. Consultez les logs du serveur secondaire. Que s'est il passe ? Affichez les 
informations reseaux. Que remarquez vous ? Affichez le cache aip du client. Que remarquez vous (bien que vous 
n’ayez lance aucune demande de resolution aip) ? 

8. Heartbeat emet un ’flood’ de reponses ARP (bien que personne n’ait pose de questions ARP) afin de forcer la mise a 
jour des caches ARP de tous les clients, le plus rapidement possible. Essayez de visualiser ces reponses ARP, en 
sniffant le reseau a partir du client, et en relaxant le serveur principal. Verifiez grace aux logs, a ifconfig, et a votre 
sniff reseau l’ensemble des caracteristiques du logiciel. 

9. Modifiez la configuration sur l’ensemble des noeuds afin de creer un cluster dont l’adresse est 192.168.1.210, et qui 
assure le fonctionnement d’un serveur Web et d’une base de donnees MySql. Le pouls sera emis sur le port serie et sur 
la carte reseau. Enfin, la remise en route du serveur principal ne declenchera pas sa promotion, le serveur de secours 
restant le support du service jusqu'a sa defaillance. Verifiez bien que les deux services a assurer ne sont pas lances lors 
de l’init de la machine. 

10. Lancez le service heartbeat sur le premier serveur. Apache et MySql se lancent ils ? 

1 1 . Lancez le service heartbeat sur le second serveur. Apache et MySql se lancent ils ? 

12. Testez le service a partir du client. Sniffez le reseau. 

13. Eteignez le premier serveur. Que se passe t'il sur le second ? Verifiez si tous les services sont bien lances. Arretez le 
sniff reseau du client. Retrouvez le ’pouls’, l’arret de celui-ci, puis le flood de reponse ARP. 


Chapitre 41. Lilo : Linux Loader 


Desciption des mecanismes de boot avec lilo 
Le demarrage de votre systeme GNU/Linux ou d’autres systemes, c'est le role de LILO 


41.1. Objectifs 

• Comprendre le fonctionnement de Lilo 

• Adopter une strategic d’installation de Linux 


41.2. Presentation de Lilo 

• En particulier : Lilo est un chargeur de Linux, Linux LOader 

• En general : Lilo est un chargeur de systemes d’exploitation 

Lilo permet de charger sur une machine: 

• plusieurs systemes d’exploitation differents (multi boot) 

• plusieurs noyaux differents de Linux (ex: pour des tests) 


41.2.1. Lilo 

Prend en charge : 

• les differentes partitions d’amorcage 

• le chargement de Linux (disquette ou disque dur) 

• la cohabitation d’autres systemes (ex: Windows, *BSD, NT, ...) 

D’autres systemes ont des chargeurs de systemes. Si Lilo est le principal chargeur des systemes il est : 

• le chargeur principal, sinon il est 

• le chargeur secondaire 


41.2.1.1. << Lilo est limite a 1024 cylindres. » FAUX ! 

Les versions recentes de lilo utilisees depuis Debian Potato supportent lba32. Si le BIOS de la carte mere est assez recent pour 
supporter lba32, lilo devrait etre capable de charger au-dela de la vieille limite des 1024 cylindres. Assurez-vous simplement 
d’ajouter la ligne « lba32 » vers le debut de votre fichier /etc/lilo . conf si vous avez garde une ancienne version de ce 
fichier. 


41.3. Documentation 

• la documentation de lilo : en general dans /usr/ share/ doc/kernel-doc- (version) ou 
/usr/doc/kernel-doc- (version) 

• les pages de manuels : man lilo lilo . conf 
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• la documentation de votre distribution 

• le guide du ROOTard 


41.4. Avant de commencer 

Lilo a besoin d'informations pour acceder au repertoire /boot Ce repertoire est normalement sur la partition principale appelee / 
ou racine (root), quelques rappels et precisions sur : 

• le systeme de gestion de fichiers (sgf) de Linux, 

• les systemes de partitions des disques. 


41.4.1. Linux SGF 


Exemple de partitionnement qu'il faudra adapter a votre environnement. 


/ (root) 
/boot 
/ tmp 
/ var 
/home 
/ usr 

/ usr/ local 
/ usr/ src 
swap 


Fichiers de demarrage (/ + /boot + /bin + /sbin) (min 50MB) 
Partition contenant les images du noyau (Kernel) (Min 16MB) 
Fichiers temporaires du systeme et des utilisateurs (min 100MB) 
Journaux, spool (/var/log, /var/spool) (min 100MB) 

Fichiers utilisateurs (min 100MB) 

Applications (min 300MB a 700MB avec X) 

Applications (en general hors distribution) (100MB) 

Sources des packages et du noyau 

Fichier d'echange, a adapter en fonction de la RAM (min 160 MB) 


Lignes directrices pour la memoire DRAM 


Ce qui suit sont des indications grossieres pour la DRAM. 


4 Mo 
16 Mo 
32 Mo 
64 Mo 
128 Mo 
256+Mo 


Minimum suffisant pour faire fonctionner le noyau Linux. 
Minimum pour un usage du systeme en mode console. 
Minimum pour un systeme X simple. 

Minimum pour un systeme X avec GNOME/KDE. 

Confortable pour le systeme X avec GNOME/KDE. 

Pourquoi pas si vous le pouvez. La DRAM est bon marche. 


L'option de boot mem=4m (ou lilo append="mem=4m") montrera comment le systeme se comporterait en ayant 4Mo de 
memoire installee. Un parametre de demarrage pour lilo est requis pour un systeme ayant plus de 64Mo de memoire avec un 
vieux BIOS. 

En fonction de la destination du serveur (impression, mail, news, ...), il faudra prevoir une partition ou un disque pour les 
sous-systemes. 


41.4.2. Les partitions 

• Un systeme de disque comporte un disque systeme ou une partition systeme, c'est le disque ou la partition de BOOT 

• Un disque peut comporter plusieurs partitions primaires dites d’amo^age. Une partition d'amo^age est une partition 
sur laquelle il est possible d'amorcer un systeme d’exploitation. Ces partitions sont appelees partitions primaires. 

• Sous Linux chaque disque peut comporter 4 partitions. 3 partitions primaires et une partition etendue, ou bien 4 
partitions primaires par exemple. 

• Un disque peut supporter jusqu’a 16 partitions. Exemple : 3 partitions primaires plus 12 partitions logiques sur une 
partition etendue. 


41.4.3. Disque IDE ou EIDE 

Si vous avez 2 bus IDE1 et IDE2 avec 2 disques chacun vous pouvez: 

• installer Linux (/boot) sur n'importe quelle partition primaire d’un des disques, 

• installer Lilo sur le MBR du disque systeme si Lilo est le chargeur primaire, 

• installer Lilo sur le PBR de la partition de Linux s’il y a un autre chargeur. 


41.4.4. Disques E(i)DE et CDROM 

Si vous avez un lecteur CDROM en deuxieme lecteur sur le bus IDE1 vous devrez: 

• installer Linux (/boot) sur n'importe quelle partition primaire du premier disque du bus IDE1, 

• installer Lilo sur le MBR du disque systeme si Lilo est le chargeur primaire, 

• installer Lilo sur le PBR de la partition de Linux s’il y a un autre chargeur. 


41 .4. Avant de commencer 
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41.4.5. Disques E(i)DE et SCSI 

Si vous avez un bus SCSI et un bus IDE vous pourrez: 

• installer Linux (/boot) sur n'importe quelle partition primaire du premier disque du bus IDE1, 

• installer Linux (/boot) sur n'importe quelle partition primaire du disque d’idO sur le bus SCSI, (les autres id ne 
fonctionnent pas), 

• installer Lilo sur le MBR du disque systeme su Lilo est le chargeur primaire, 

• installer Lilo sur le PBR de la partition de Linux s’il y a un autre chargeur. 


41.4.6. Disques SCSI 

Si vous avez 2 disques SCSI, vous pourrez: 

• installer Linux (/boot) sur le disque d’idO ou id 1 (les autres id ne fonctionneront pas), 

• installer Lilo sur le MBR du disque systeme si Lilo est le chargeur primaire, 

• installer Lilo sur le PBR de la partition de Linux s’il y a un autre chargeur. 

Attention avec les Bus SCSI 

• connectez le lecteur de CDROM sur le connecteur le plus proche du processeur, 

• affecter lui un id superieur a celui du dernier disque, 

• verifiez la terminaison physique et logique du Bus. 


41.4.7. Restriction du BIOS 

• Certains BIOS ne supportent pas de partitions d'amorgage au dessus du cylindre 1023, 

• Attention si vous utilisez des outils comme ftps. 

• Ne creez pas de partition au-dessus de cette etendue avec un BIOS incompatible. 


41.5. Installation 

41.5.1. MBR et PBR 

Installez Lilo 

• sur le MBR (Master Boot Record), si vous n’avez pas d’autres chargeurs de systeme. Le MBR contient un 
enregistrement qui est charge a chaque demarrage de la machine. 

• sur le PBR (Partition boot Record) si vous utilisez un autre chargeur de systeme comme celui d’OS/2 ou Windows 
NT. 


41.5.2. Installer Lilo 

Quand ? 

• Pendant l’installation de Linux. 

• Apres Installation de Linux. 


Ou? 

• Sur une partition du disque dur. Dans ce cas ilfaudra bien choisir cette partition 

• Sur le MBR si Lilo est le chargeur primaire 

• Sur un PBR si Lilo est le chargeur secondaire (dans ce cas le chargement des systemes est pris en charge par un autre 
chargeur) 

• Linux doit etre installe sur une partition primaire (ne pas utiliser de partition etendue) 

• On peut modifier la partition de chargement en modifiant le fichier de configuration de Lilo (/etc/lilo.conf) 

Attention: Si vous installez Lilo sur un MBR, alors qu’il y a deja un chargeur, vous supprimerez le chargeur installe. 


41.5.3. Dos ou Windows 9.x 

• Creez une partition pour Windows, installez Windows, 

• Creez les partitions pour Linux, installez Linux, 

• Installez Lilo sur le MBR 

Pour lancer ou relancer lilo apres une modification de configuration : /sbin/lilo 
Attention : Linux ne lit pas naturellement les Fat 32 bits. 


168 


41 .4.5. Disques E(i)DE et SCSI 









Tutoriel sur les serveurs 


41.5.4. Windows NT 

Windows NT propose son chargeur. 

• Creez les partitions pour Windows NT et installez NT. 

• Creez les partitions pour Linux et installez Linux. 

• Installez Lilo sur le PBR de sa partition d' am ore age. 

• Ajoutez Linux dans la table des partitions d'amo^age de NT (avec un utilitaire comme bootpart par exemple). 
Le chargeur de NT permettra le chargement de Linux 


41.5.5. Exemple avec 3 systemes 

Avec Windows 9.x et NT: 

• creez les partitions appropriees, 

• installez Windows 9.x, 

• installez Windows NT et son chargeur, 

• installez Linux sans mettre Lilo sur le MBR. 

Attention aux systemes de fichiers Fat, Fat 32, NTFS, ext2fs. 


41.5.6. Avec d'autres systemes 

• voyez la documentation du systeme, 

• les FAQs et HOWTOs, 

• les forums de discussions. 


41.6. Lilo 

• Lilo cree une copie de sauvegarde du secteur de Boot (MBR) dans le repertoire /boot. 

♦ avec un disque IDE /boot /boot .0300 

♦ avec un disque SCSI /boot /boot .0800 

• il est possible de restaurer ce secteur de boot: 

♦ 

dd if=/boot/boot . 0300 of=/dev/hda bs=446 count=l 

Explication On restaure le secteur de boot d'une partition primaire sur /dev/hda (disque IDE). Seuls les 446 premiers octets des 
secteurs sont necessaries, les autres contiennent des informations sur les tables des partitions. 

Attention il y a un risque, faire au prealable une disquette de demarrage. 


41.6.1. Execution de Lilo 

Pour s'executer correctement, Lilo a besoin: 

• d’information sur le systeme (type de disques, controleurs, ...) 

• d’un fichier de configuration (option d’execution, partition d’amorcage, ...). 


41.6.2. Options de configuration 

• boot partition qui contient le secteur de boot 

• delay duree en 1/10 de seconde pendant laquelle le chargeur attend 

• map emplacement du fichier de carte du noyau ou sinon /boot /map 

• prompt affiche une invite au demarrage afin que l’utilisateur entre un choix 

• image indique, pour la section, quelle image charger 

• label alias permet de choisir entre plusieurs systemes. 

• append append permet de passer des parametres au noyau, par exemple pour activer un peripherique specifique 
(graveur ide en SCSI). 

• disk et bios disk et bios remplace le mapping entre nom de disque et l'ordre des disques dans le BIOS. A utiliser avec 
precaution. 


41.6.3. Outils de configuration 

• manuellement pour la creation des fichiers et l'installation de Lilo, 

• utilisation de l'environnement graphique (linuxconf ou webmin par exemple). 


41.5.4. Windows NT 
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41.6.4. Exemple de fichier de configuration /etc/lilo. conf 

# Support des disques de grande taille 
lba32 

# 

#disk=/dev/hde 

# bios=0x81 
#disk=/dev/ sda 

# bios=0x80 

boot=/dev/hda 
map= /boot /map 
install=/boot/boot .b 
vga=normal 
def ault="linux" 

keytable=/boot/f r_CH-latinl . kit 

prompt 

nowarn 

timeout=100 

me ssage= /boot /message 

menu-scheme=wb : bw : wb : bw 

root=/ dev/hdal 

image=/boot /vmlinuz 

label="linux" 
initrd=/boot/ initrd. img 

append="devf s=mount hdc=ide-scsi acpi=ht resume=/dev/hdal splash=silent 

vga=788 

read-only 

image=/boot / vmlinuz -old 
label="old" 

initrd=/boot/ initrd. img-old 

append="devf s=mount hdc=ide-scsi acpi=ht resume=/dev/hdal splash=silent 

vga=788 

read-only 

image=/boot / vmlinuz -suze 
label=" suse" 
root=/dev/hda2 
initrd=/boot/ initrd. img 
read-only 

other=/dev/hda3 

label="win2k" 

image=/boot /memtest-1 . 1 1 . bin 
label="memtest-l .11" 


Ici, il y a 4 images, et 4 systemes differents 

41.6.5. Desinstaller Lilo 

• si on veut installer un autre systeme sur la machine 

• si Lilo est installe sur le MBR et doit etre deplace sur un PBR 

Utilisez la commande "fdisk Imbr" sous Windows ou "/sbin/lilo -u sous Linux" 


41.7. Choix du systeme 

• Au demarrage du systeme utilisez les touches CTRL ou SHIFT. Les touches CTRL et SHIFT vont temporiser le 
systeme, pour permettre a l'utilisateur d’entrer une commande 

• Au prompt "boot:" utilisez la touche TAB pour voir la liste des differents systemes. La touche TAB affichera la liste 
des systemes (champ "label" de /etc/lilo. conf). 


41.8. Autres solutions sans Lilo 

• Demarrer Linux avec la disquette de demarrage (si on ne desire pas modifier la configuration d’une machine) 

• utiliser d’autres chargeurs commerciaux, 

• utiliser loadlin, (pour charger Linux a partir de Windows) 

• syslinux, chboot 


41.8.1. Loadlin 

loadlin permet de charger Linux a partir d’un prompt MS-DOS 

• Exemple : Linux est installe sur la partition /dev/sda2 

• Commande : loadlin NomDuNoyau root=/dev/sda2 
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41.9. rdev 

• si Lilo n'est pas installe, les valeurs codees dans le noyau sont prises en compte. 

• ces valeurs sont codees avec la commande rdev. 

La commande rdev permet de voir quelle est la partition d'amorgage. 


41.10. initrd 

initrd est un fichier special (disque RAM), initialise par Lilo, avant de charger le noyau, 
II permet de "pre-charger" les modules contenu dans /etc/modules . conf, 

L'appel a initrd est configure dans / etc/ lilo . conf 
Pour en savoir plus : man initrd mkinitrd mknod 


41.10.1. Modules 

Les modules pour les pilotes de peripheriques sont configures lors de l'installation initiale. modconf permet de configurer les 
modules ensuite au travers d'une interface utilisant des menus. Ce programme est utile lorsque des modules ont ete oublies lors 
de l'installation ou lorsqu'un nouveau noyau est installe. 

Le nom des modules a precharger est liste dans /etc/modules. Utilisez lsmod et depmod pour les controler manuellement. 

/ etc /modules .conf 

above snd-via82xx snd-pcm-oss 

probeall scsi_hostadapter aic7xxx ide-scsi 

alias ieeel3 94-controller ohcil394 

probeall usb-interf ace usb-uhci ehci-hcd 

alias sound-slot-0 snd-via82xx 

alias ethO tulip 

alias autofs autofs4 

alias ethl via-rhine 


41.10.2. initrd (suite) 

Exemple de mise a jour, suite a la modification de / etc/modules . conf: 

• Modification de /etc/modules . conf 

alias scsi_hostadapter buslogic 

• Creation de la nouvelle image /sbin/mkinitrd -o /boot/NouveauNomlnitrd.img numero_version_kernel 


41.11. Conclusion 

Vous avez vu : 

• comment s'effectue le chargement de Linux, 

• le role de lilo, 

• comment installer et configurer Lilo, 

• comment desinstaller lilo, 

• adopter une strategic pour installer plusieurs systemes d'exploitation sur une machine Linux. 


Chapitre 42. Travaux pratiques : Kernel et Noyau 


Mise en oeuvre des mecanismes de boot et optimisation du noyau. 

Le but de ce TP est de savoir gerer le chargement du systeme, de la phase de boot a celle du chargement du noyau et de ses 
modules, init et les niveaux d’executions seront abordes dans un autres TP. 


42.1. Objectifs 

• Utiliser Lilo 

• Utiliser Grub 

• De/Chargement de modules 

• Librairies 

• Installation d’un noyau standard 


Chapitre 42. Travaux pratiques : Kernel et Noyau 
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• Installation d'un noyau a partir des sources 


42.2. Quelques remarques 

• Durant l'installation, on sera interroge sur le materiel ou les puces. Parfois, ces informations ne sont pas toujours 
faciles a trouver. Voici une methode : 

♦ Ouvrez le PC et inspectez l'interieur. 

♦ Notez les codes produit qui sont sur les grandes puces de la carte graphique, de la carte reseau, sur la puce a 
cote des ports serie et la puce a cote des ports IDE. 

♦ Notez les noms des cartes imprimes au dos des cartes PCI et ISA. 

• Relevez dans /etc/lilo.conf, la configuration initiale et effectuez une copie de ce fichier avant toute modifications. 

• Relevez a l'aide de fdisk ou cfdisk le mapping de votre disque dur. 

• Relevez a l'aide des commandes ci dessous, les caracteristiques materiel de votre poste de travail. 

$ lspci -v | less 
$ pager /proc/pci 
$ pager /proc/interrupts 
$ pager /proc/ioports 
$ pager /proc/bus/usb/devices 


42.3. Compilation 

A partir d'une distribution Debian GNU/Linux 

• Lisez attentivement ce document une premere fois sans lancer les commandes. 

• Lisez egalement les pages de manuel des commandes avec man et info 

Notez la version actuelle de votre noyau : 

uname -a 
Is -1 /boot/ 

Is -1 /lib/modules/ 

Is -1 /usr/src/ 


OU 

cat /proc/version 

Affichez les modules charges et reperez celui charge du support de la carte reseau 


lsmod 


lancez la commande ci-dessous, choisissez la derniere version du noyau en relaxant a nouveau la commande avec le nom + 
version 

apt-get install debhelper modutils kernel-package libncurses5-dev 
apt-get install kernel-source- [2 . 4 . 26] # utilisez la derniere version 

apt-get install fakeroot 

entrez votre nom et adresse electronique 

vi /etc/kernel-pkg . conf 


deplacez vous dans le repertoire ou se trouve les sources 
cd /usr/src 
decompactez l'archive 

tar xjvf kernel-source- (nouvelle-version) . tar . bz2 

supprimez le lien symbolique linux qui pointe sur la derniere version du noyau, s'il existe. 

rm /usr/src/linux 


creez un lien symbolique vers votre nouvelle version 

In — s /usr/src/kernel-source- (nouvelle-version) /usr/src/linux 

deplacez vous dans les sources 

cd /usr/src/linux 

consultez les fichiers avec par exemple me 
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Documentation/* 

README 

README . deb i an 
Makefile 


lancez 1'interface de configuration du noyau afin de constater que par defaut la selection des modules du noyau ne correspond 
pas a celle que vous avez, c'est normal car a ce stade vous n’avez pas recupere votre ancienne configuration (fichier .config 
dans les sources). 

! pour le TP quitter sans sauver ! Si vous avez lu trop tard, lancer les commandes suivantes afin de purger vos sources 
make mrproper 
pour 1’interface sous X 

make xconfig 

en mode console texte et ultra-basique 

make menuconfig 
make config 

verifiez la presence des modules reseau, video, ... de votre machine 

less /boot/ config- (version-actuelle) 

verifiez egalement leur presence dans /lib/modules/kernel- (version-actuelle) / ... 

Vous pouvez egalement constater leur chargement dans le systeme et dans le fichier de chargement 


lsmod 

cat /etc/modules 

copiez le fichier de config par defaut 

cp /boot/config- (version-actuelle) /usr/src/linux/ . config 

alternative sous Suse : make cloneconfig 
demarrez la configuration de votre nouveau noyau 

make menuconfig 

enlevez le module de votre carte reseau 

au cours d’une autre manipulation vous pourrez refaire ce TP en retirant tout support qui ne concerne pas votre architecture 
materielle, afin d’obtenir un noyau optimise a vos besoins, attention toutefois a ne pas retirer les modules necessaires au 
fonctionnement de votre environnement. 

help sur un module vous donne son label que vous retouvez dans .config 
quittez et sauvez les modifications 

regardez vos modification par rappoit au fichier d’origine 
pour voir vos modifications 

diff /boot/ . config- (version-actuelle) .config 

editez le fichier Makefile et mettez votre EXTRA VERSION personelle 

profitez-en pour parcourir ce fichier et voir ce que font les differentes cibles (dep, clean, bzlmage, ...) 

copiez votre /usr/src/linux/ . config dans /boot 

cp .config /boot /config- (nouvelle-version) 

lancez les commandes de compilation suivantes: 

make dep 
make clean 
make bzlmage 
make modules 

Vous pourriez egalement enchainer les traitements en une seule commande : make clean bzlmage modules 
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Attention ! A ce point si vous recompiliez la meme version de kernel, vous devez deplacer 

/lib/modules/kernel- (version-actuelle) , afin de ne pas generer, dans ce dernier, les modules issue de votre 
nouvelle compilation 

mv /lib/modules/kernel- (version-actuelle) /lib/modules/kernel-version-actuelle-old 

continuez ensuite par installer les modules 

make modules_install 

Is -1 /lib/modules/ # Vous permet de constater le creations du repertoire contenant les modules de kernel- (vers 

copiez les fichiers (noyau et System.map) crees par la compilation dans /boot 

cp arch/i386/boot/bzImage /boot/vmlinuz- (nouvelle-version) 
cp System.map /boot/Sytem. map- (nouvelle-version) 

Si /boot/System. map existe et est un lien symbolique, vous devez le supprimer pour etablir un lien avec le nouveau 
fichier. 

rm /boot/System. map 

In -s /boot/Sytem. map- (nouvelle-version) /boot /Sytem . map 
Supprimer /vmlinuz .old s'il existe, ou renommer le 
rm /vmlinuz. old 

permuttez le lien symbolique / vmlinuz 

mv /vmlinuz /vmlinuz. old 

creez un lien symbolique pointant sur la nouvelle image du noyau 

In -s /boot /vmlinuz- (nouvelle-version) /vmlinuz 

Editer lilo.conf et activer la section vmlinuz.old (si ce n'est pas fait) et valider vos changements 

lilo -v 

rebooter 

shutdown -r now ou reboot 


Extras, a faire plus tard 

il est possible de rendre totalement automatique Installation du noyau en lan 9 ant la commande (ne l'utilisez pas pour le TP) 

cd /usr/src/linux 

make modules_install install 

Fabriquer un noyau « debianise » en simple utilisateur: recuperer les sources du kernel et de pcmcia dans votre repertoire 

$ cd ~/kernel-source- (nouvelle-version) 

$ make menuconfig 
$ make-kpkg clean 

# N'utilisez pas — initrd, initrd n'est pas utilise dans notre cas . 

$ fakeroot make-kpkg — append_to_version -486 — initrd \ 

— revision=rev . 01 kernel_image \ 

modules_image # modules_image pour pcmcia-cs* etc. 

$ cd . . 

# dpkg -i kernel-image* . deb pcmcia-cs* . deb # installation en tant que root 

En realite, make-kpkg kernel_image lance make oldconfig et make dep. 

Si vous voulez les modules de pcmcia-cs, ou pas de support pcmcia, selectionnez dans make menuconfig « General setup » 
dans « PCMCIA/CardBus support » et le deselectionner (cad decocher la case). 

Sur une machine SMP, configurez CONCURRENCY_LEVEL selon kernel-pkg.conf(5). 

Autre possibility 

cd /usr/src/linux 

make-kpkg -revision debidon . 2 . 4 . 2 6 kernel_image 

apres cette commande un noyau debianise est cree dans /usr/src/ 

un utilisateur peut faire un package de kernel en utilisant fakeroot pour l'installer ensuite sur une autre machine, ou encore le 
Stocker dans un repertoire dont le sources. list d'apt pointerait dessus. 
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fakeroot make-kpkg -revision debidon . 2 . 4 . 2 6 kernel_image 

root peut ensuite 1'installer en lancant la commande 

dpkg -i kernel_image-2 . 4 . 2 6_debidon . 2 . 4 . 2 6_i38 6 . deb 

regardez les commandes mkboot et installkernel 

42.4. Installation et activation de module 

Affichez la liste des modules charges et constatez que le module reseau n'est plus la, ni l’interface 

lsmod 

ifconfig -a 

deplacez-vous dans les sources 

cd /usr/src/linux 

make menuconfig # (selection du module de la carte reseau comme module) 

quittez et sauvez 

make dep 

make modules modules_install 

controlez les dependences des modules 

depmod -a 

charger a chaud le module dans le systeme 

modprobe nom_module 

ou (ie remplacer alias par dans notre cas ethO) (voir /etc/modules. conf) 

modprobe alias 

controlez la presence du module 

lsmod 

reeactivez le reseau 

/etc/init . d/networking restart 

NB: pour charger/decharger les modules du noyau. 

modconf 

si modules. dep ne se trouve pas dans /lib/modules/(version-encours) 

depmod -a 

pour prendre en compte un module au chargement, ajouter le dans /etc/modules 

man modules. conf 


42.4.1. make-kpkg pour les modules 

exemple pcmcia-cs + pcmci a- sources 

cd /usr/src 

recuperer sur http://pcmcia-cs.sourceforge.net/ et decompresser les sources pcmcia dans le repertoire modules apres install du 
noyau 

cd /usr/src/modules/pcmcia-cs 
make clean 
make config 
cd /usr/src/linux 

make-kpkg — revision=custom. 1 . 0 modules_image 
cd /usr/src/ 

dpkg -i pcmcia-modules* . * . deb 

Pour plus d’information sur la compilation http://www.debian.org/doc/manuals/reference/ch-kernel.fr.html 


42.4. Installation et activation de module 
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42.5. Utilisation de Grub 

Le nouveau gestionnaire de demarrage grub du projet GNU Hurd peut etre installe sur un systeme Debian Woody 

# apt-get update 

# apt-get install grub-doc 

# me /usr/share/doc/grub-doc/html/ 

. . . lisez le contenu 

# apt-get install grub 

# pager /usr/share/doc/grub/README . Debian 

... a lire 

Comment configurer les parametres de demarrage de GRUB GRUB est un nouveau gestionnaire de demarrage issu du projet 
Hurd et est beaucoup plus flexible que Lilo mais a une maniere differente de gerer les parametres de demarrage. 

# grub 

grub> find /vmlinuz 
grub> root (hd0,2) 

grub> kernel /vmlinuz root=/dev/hda3 

grub> initrd /initrd # ne pas utiliser dans notre cas 
grub> boot 

La, vous devez connaitre les noms de peripheriques de Hurd : 

the Hurd/GRUB Linux MSDOS/Windows 

(fdO) /dev/fdO A: 

(hd0,0) /dev/hdal C: (habituellement ) 

(hd0,3) /dev/hda4 F: (habituellement) 

(hdl,3) /dev/hdb4 ? 

Voir /usr/share/doc/ grub /README . Debian et /usr/share/doc/grub-doc/html / pour les details. 

Pour modifier le menu de GRUB, editez /boot/grub/menu . 1st . Voir Comment configurer les parametres de demarrage 
de GRUB, pour la configuration des parametres de demarrage car la syntaxe est differente de celle de lilo. 


42.6. Librairies 

II faut distinguer les librairies statiques des librairies dynamiques. 

Les libriaires statiques possedent l'extension ".a". Ces librairies sont liees statiquement avec le binaire (programme). C'est a 
dire que durant la phase de linkage (edition des liens lors de la compilation) le compilateur va prendre le code des fonctions 
necessaires de la librairie et les mettres en dur dans le binaire. 

Les librairies dynamiques possedent l'extension ".so". Ces libriaires sont liees dynamiquement avec le binaire. Dans ce cas, le 
code des fonctions utilisees par le programme ne se trouve pas dans le binaire. Mais lorsque ce bout de code est requis par le 
programme, il va charger ce code dynamiquement (durant l'execution du programme). 

Un programme lie statiquement avec une librairie sera plus gros en taille que pour une libriaire dynamique. 

Pour les libriaires dynamiques, voici le fichier a configurer qui donne les chemins ou se trouvent les librairies dynamiques 

/etc/ld.so.conf 

La commande ldconfig parcours les chemins specifies dans le fichier de configuration et construit un cache. Ce cache est 
utilise par le "run-time linker" (chargeur de librairies durant l'execution d'un programme). 

Consulter les man page de la commande ldconfig pour plus de precision sur les arguments... elle s'utilise en general de maniere 
tres simple sans argument (doit etre executee en root). Cette commande doit etre executee apres l’installation de nouvelle 
librairies (generalement cela est effectue automatiquement lors de 1’installation des packages). 

Consulter egalement les man page de la commande Idd et Id 


Chapitre 43. Init : Initialisation du systeme sous Linux 


Initialisation du systeme sous Linux 

Une fois le processus de boot termine, votre systeme a besoin de lancer les daemons (ftp, nfs, gettys, ...) , c'est le role d 'init 


43.1. Documentation 

• Guide de l’administrateur systeme (Traduction E. Jacoboni) 

• Guide du RooTard 

• BootDisk HowTo 

• BootPrompt HowTo 
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43.2. 5 phases: 

• chargement du BIOS, 

• initialisation du chargeur (Linux LOader LILO), 

• chargement du noyau de Linux, 

• execution du programme "init" et initialisation des peripheriques, 

• chargement des extensions et des services. 

Nous appelerons, a l'avenir le processus d'initialisation: processus de "BOOT" (c'est plus court...) 


43.3. Premieres explications: 

• Le BIOS determine le premier secteur a lire (disque dur, CDROM, disquette). On dit que le BIOS determine le disque 
systeme. Demarrer sur une disquette est utile si : 

♦ on desire demarrer une machine equipee avec Linux sans toucher a ce qui existe deja sur le disque, (voir 
xtermkit), 

♦ pour une operation de maintenance ou de reparation du systeme, 

♦ pour demarrer sur un deuxieme disque mirroir quand le premier est tombe en panne. 

• chargement du bootstrap. Le bootstrap tient sur un secteur et contient le chargeur. Voir le cours sur Lilo. 

• le chargeur active le systeme d’exploitation (kernel) ou noyau de Linux qui peut etre n’importe ou sur le disque 
principal ou sur un autre disque. Le noyau est un "micro systeme" normalement compresse sur le disque. II se 
decompresse automatiquement au chargement. 

• Linux initialise le materiel et les peripheriques puis lance le programme "init". Ce programme est dans /shin, init 
utilise le fichier /etc/ inittab 

• "init" a en charge 1 execution d’autres scripts et programmes. 


43.4. Le processus de BOOT 

Le processus de BOOT d’un peu plus pres. 

• sur une disquette de Boot, il n’y a pas necessairement de systeme de fichier, 

• le programme du secteur de Boot lit les secteurs sequentiellement pour charger le noyau, 

• si la disquette contient un SGF, on utilise un autre precede comme LILO. 

• avec des disques durs, le disque principal contient un Master Boot Record, car un disque peu avoir plusieurs 
partitions, chacune ayant un Partition Boot Record (PBR), 

• le MBR lit la table des partitions pour determiner la partition bootable et lit le PBR, 

• le PBR est un programme qui tient sur un seul secteur, ce programme initialise le systeme d’exploitation. Le role est 
similaire au processus de boot d’une disquette. 

• comme un disque contient un SGF, le Boot record doit acceder a des secteurs. Pour cela on utilise Lilo, 

• le noyau detecte le SGF et monte ensuite le systeme de fichier "root". 


43.5. Lilo 

• charge normalement le systeme d’exploitation par defaut, 

• peut etre configure pour: 

♦ charger d’autres noyaux de Linux que celui par defaut, 

♦ charger d’autres systemes d’exploitation, 

♦ attendre au demarrage une commande de l’utilisateur. 

• utiliser la combinaison de touche ALT CTRL SHIFT quand Lilo est charge, 

• les messages de la phase de demarrage sont journalises dans /var/log, 

• les messages sont consultables avec la commande "dmesg" 

Voir le cours sur Lilo pour en savoir plus 


43.6. Init 

Si tout s’est bien passe jusque la, le noyau lance le programme "init" 

Le fichier de configuration d’init /etc/inittab specific que le premier script a executer/etc/init.d/rcS. Ce script lance tous 
les scripts de /etc/rcS.d/ en incluant le source ou en forkant un sous-processus, selon leur extension, pour executer des 
initialisations, comme la verification et le montage des systemes de fichiers, le chargement des modules, le demarrage des 
services reseau, le reglage de l’horloge, et l’execution d’autres initialisations. Ensuite, pour compatibility, il lance aussi les 
fichiers (sauf ceux ayant un « . » dans leur nom) de /etc/rc.boot/. Les scripts de ce dernier repertoire sont habituellement 
reserves a l'administrateur systeme, et leur utilisation dans des paquets est obsolete. 

• le programme init est dans /shin 

• init est charge de lancer les daemons (ftp, nfs, gettys, ...) 

• il y a plusieurs versions d’init (BSD, System V) 


43.2. 5 phases: 
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• BSD a ses fichiers de configuration dans /etc 

• System V a ses fichiers dans un sous repertoire de /etc/rc.d 

• init System V tend a devenir le standard sous Linux 


43.6.1. Le repertoire /etc/rc.d 

Contient le fichier rc . sysinit et les repertoires suivants: 

• init.d 

• rcO.d 

• rcl.d 

• rc2.d 

• rc3.d 

• rc4.d 

• rc5.d 

• rc6.d 

• Le repertoire rc.d peut contenir egalement les fichiers rc. local, rc. serial, rc.news, ... 

• le repertoire init.d contient un script par service lance au demarrage (nfs, ftp, inet, ...) 

• les repertoires rcO.d a rc6.d correspondent aux programmes qui seront charges en fonction du niveau d'execution de 
Linux que nous allons voir. 


43.6.2. Sequences du programme init 

• le noyau charge init, 

• init execute dans l'ordre, 

♦ /etc/rc.d/rc. sysinit, 

♦ les scripts necessaires pour la configuration /etc/rc.d/rcx.d 

♦ /etc/rc.d/rc. local 


Remarque 

• les scripts executes dependent du niveau d'execution de Linux, 

• sinon c'est une configuration par defaut qui est selectionnee. 


43.6.3. Le niveaux d'execution (runlevels) 

• 0 sert pour l'arret du systeme (ne pas mettre ce niveau par defaut) 

• 1 sert pour le mode mono utilisateur 

• 2 mode multi utilisateurs et reseau (sans NFS) 

• 3 mode multi utilisateurs et reseau 

• 4 ne sert pas 

• 5 demarrer avec l'environnement graphique (proposer un environnement) 

• 6 sert pour rebooter le systeme (ne pas mettre ce niveau par defaut) 


43.6.4. Le niveau d'execution par defaut 

• par defaut le niveau 3 - mode multi utilisateurs 

• defini dans /etc/inittab id:3:initdefault: 

Suivant la distribution, ce niveau par defaut peut etre different 

• Debian : 2 

• Mandrake : 5 


43.7. Le fichier /etc/inittab 

Le fichier contient une suite d'instruction sous la form e:code:niveau d' action: action: commande Exemple: configurer le mode 
"single user" cll:l:wait:/etc/rc.d/rc 1 Pour en savoir plus sur les niveaux d'actions respawn, wait, once, boot, ... de lancement 
des commandes, voir man inittab 

Un exemple de /etc/inittab 


# Le niveau d'execution par defaut 
id : 2 : init default : 

# Initialisation du systeme 

si: rsysinit:/ etc/rc.d/rc. sysinit 

# Les differents niveaux d'execution 
10 : 0 : wait : /etc/rc . d/rc 0 

11 : 1 : wait : /etc/rc . d/rc 1 
12 : 2 : wait : /etc/rc . d/rc 2 
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13 : 3 : wait : /etc/rc . d/rc 3 
14 : 4 : wait : /etc/rc . d/rc 4 
15 : 5 : wait : /etc/rc . d/rc 5 
16 : 6 : wait : /etc/rc . d/rc 6 

# Intercepter les touches CTRL-ALT-DELETE 
ca : : ctrlaltdel : /sbin/shutdown -t3 -r now 

# Demarrer en mode graphique sous xdm 
x : 5 : respawn : / opt /kde/bin/kdm -nodaemon 

# Arret de la machine 2 mn apres le signal donne par l'UPS s'il y a une coupure d ' electricite . 
pf :: powerf ail : /sbin/shutdown -f -h +2 "Power Failure; System Shutting Down" 

# Annulation de 1 ' arret si 1 1 electricite est retablie. 

pr : 12345 ipowerokwait : /sbin/shutdown -c "Power Restored; Shutdown Cancelled" 

# Creation des differentes consoles (CTRL ALT F[l-6]) 

1:2345: re spawn : / sbin/mingetty ttyl 

2:2345: re spawn : / sbin/mingetty tty2 
3:2345: re spawn : / sbin/mingetty tty 3 
4:2345: re spawn : / sbin/mingetty tty 4 
5:2345: re spawn : / sbin/mingetty tty 5 
6:2345: re spawn : / sbin/mingetty tty 6 


43.8. Contenu d'un repertoire rcx.d 

Ex trait: 

[ root@pastorius root]# 11 /etc/rc2.d/ 
total 0 


lrwxrwxrwx 

i 

root 

root 

18 

oct 

2 

15:44 

SlOsysklogd 

-> . . /init . d/ sysklogd* 

lrwxrwxrwx 

i 

root 

root 

15 

oct 

2 

15:44 

Sllklogd -> 

. . / init . d/klogd* 

lrwxrwxrwx 

i 

root 

root 

13 

oct 

2 

15:44 

S14ppp -> . 

. /init . d/ ppp* 

lrwxrwxrwx 

i 

root 

root 

15 

oct 

2 

21:06 

SI 5bind9 -> 

. . / init . d/bind9* 

lrwxrwxrwx 

i 

root 

root 

20 

oct 

2 

16:35 

SI 9nf s-common -> . . /init . d/nf s-common* 

lrwxrwxrwx 

i 

root 

root 

13 

oct 

2 

21:06 

S19nis -> . 

. / init . d/nis* 

lrwxrwxrwx 

i 

root 

root 

14 

oct 

2 

15:44 

S20postf ix 

-> . . /init . d/post fix* 

lrwxrwxrwx 

i 

root 

root 

13 

oct 

6 

22:28 

S20gpm -> . 

. / init . d/ gpm* 

lrwxrwxrwx 

i 

root 

root 

15 

oct 

2 

15:44 

S20inetd -> 

. . / init . d/inetd* 

lrwxrwxrwx 

i 

root 

root 

13 

oct 

2 

16:35 

S201pd -> . 

. /init . d/ lpd* 

lrwxrwxrwx 

i 

root 

root 

17 

oct 

2 

15:44 

S20makedev 

-> . . /init . d/makedev* 

lrwxr-xr-x 

i 

root 

root 

16 

oct 

11 

00:21 

S20pcmcia - 

> . . / init . d/pcmcia* 

lrwxrwxrwx 

i 

root 

root 

13 

oct 

2 

16:35 

S20ssh -> . 

. /init . d/ ssh* 

lrwxrwxrwx 

i 

root 

root 

16 

oct 

2 

21 : 07 

S20webmin - 

> . . /init . d/webmin* 

lrwxrwxrwx 

i 

root 

root 

13 

oct 

3 

02:15 

S20xfs -> . 

. / init . d/ xf s* 

lrwxrwxrwx 

i 

root 

root 

17 

oct 

5 

01:37 

S20xf s-xtt 

-> .. /init . d/xf s-xtt * 

lrwxrwxrwx 

i 

root 

root 

25 

oct 

2 

21 : 07 

S25nf s-user 

-server -> .. /init . d/nf s-user- 

lrwxrwxrwx 

i 

root 

root 

17 

oct 

2 

20:41 

S50proftpd 

-> . . /init . d/proftpd* 

lrwxrwxrwx 

i 

root 

root 

13 

oct 

2 

15:44 

S89atd -> . 

. /init . d/ atd* 

lrwxrwxrwx 

i 

root 

root 

14 

oct 

2 

15:44 

S89cron -> 

. . /init . d/cron* 

lrwxrwxrwx 

i 

root 

root 

16 

oct 

2 

21:06 

S91apache - 

> . . /init . d/apache* 

lrwxrwxrwx 

i 

root 

root 

13 

oct 

2 

16:36 

S99gdm -> . 

. / init . d/ gdm* 

lrwxrwxrwx 

i 

root 

root 

13 

oct 

3 

01:12 

S99kdm -> . 

. / init . d/kdm* 

lrwxrwxrwx 

i 

root 

root 

19 

oct 

2 

15:44 

S99rmnologin -> . . /init . d/rmnologin* 

lrwxrwxrwx 

i 

root 

root 

13 

oct 

3 

02:15 

S99xdm -> . 

. / init . d/ xdm* 


Ce repertoire contient des liens logiques vers des scripts qui sont dans /etc/rc. d/init.d/ 


43.9. Comment choisir un mode d'execution 

• Vous pouvez modifier le mode par defaut dans /etc/inittab, 

• ou lors du demarrage de Linux a l'affichage du prompt "boot" 

♦ exemple "linux single" ou "linux 1" 

♦ cette methode permet parfois le depannage 


43.10. Utilitaires de configuration 

• configuration manuelle a l'aide d'un editeur et/ou des commandes 

• en environnement graphique: 

♦ sous KDE ou gnome 

♦ linuxconf, 

♦ le control-panel. 

♦ webmin https://localhost: 10000/ 


43.8. Contenu d'un repertoire rcx.d 
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43.11. Arreter ou demarrer un service 

En mode commande 

• root:-# /etc/init.d/NomDuService stop 

• root:-# /etc/init.d/NomDuService start 

• root:-# /etc/init.d/NomDuService status (pour certains) 

• root:-# /etc/init.d/NomDuService (vous donne l'usage) 

En mode graphique 

• ksysv 

• controle center/systeme/services 


43.12. Ajout ou suppression d'un service 

• chkconfig — level 3 smb off (sous Mandrake, RedHat) 

• update-rc.d -f ntp remove (sous Debian) 


43.13. Placer une commande au demarrage du systeme 

• Si vous voulez qu'une commande soit executee a chaque lancement, vous pouvez utiliser le script rc. local, 

• ce script est execute en dernier, il vous permettra d'adapter la configuration de votre systeme. 


43.14. Arret du systeme 

Procedure 

• signaler a tous les processus de se terminer pour fermer proprement les fichiers, 

• demonter tous les systemes de fichiers et partitions de swap, 

• message divertissement du systeme "system halted", 

• couper l'alimentation 


Attention 


• ne pas utiliser cette procedure peut entrainer des pertes de donnees, 

• ne pas utiliser "halt" ou "reboot" mais "shutdown", 

• 1' operation est realisee sur la console systeme ou par planification "cron", 

• limiter aux administrateurs. 


43.15. La commande shutdown 

Procedure 

• Pom arreter le systeme immediatement 

♦ root:-# shutdown -h now (h pour halt) 

• Pom arreter et relancer le systeme 

♦ root:-# shutdown -r now (r pour reboot) 

• Arreter le systeme et prevenir les utilisateurs par un message 

♦ root:-# shutdown -h+10 "les services reseaux vont s'arreter et reprendre dans 2 hemes" 

♦ les utilisateurs auront un message sur leur console et auront le temps de quitter leur session. 


43.16. La disquette de BOOT 

La disquette de BOOT et Root 

43.16.1. Creation des disquettes 

43.1 6.1 .1 . La disquette de Boot 

II existe plusiem solutions, dont l’utilitaire "mkbootdisk" 

• relever la version de votre systeme "uname — r" 

• supposons que la commande est retourne 2.4.28 

• tapez root:-# mkbootdisk — device /dev/fdO 2.4.18 
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43.1 6.1 .2. La disquette de Root 

Les distributions de Linux proposent souvent une disquette Root ou Rescue 

• root:-# mount /mnt/cdrom /* monter le lecteur */ 

• root:-# cd /mnt/cdrom/images /* si les images de disquettes sont dans ce repertoire */ 

• tapez root:-# mkbootdisk — device /dev/fdO 2.4.18 

• tapez root:-# dd if=rescue.img of=/dev/fdO bs 1440 /* si l'image s'appelle rescue. img */ 
Dans tous les cas testez les disquettes. 


43.17. Depannage 

43.17.1. Mot de passe de root oublie 

Le mot de passe de root est oublie ou on ne peut plus se logger 

• booter avec les disquettes de Boot et de Root, 

• ouvrez une session root (pas besoin de mot de passe), 

• monter le disque dur exemple 

root:-# mount -t ext2 /dev/sdal /mnt 

• modifiez le fichier /mnt/etc/passwd. 

Cet exemple montre trois choses: 

• ces disquettes peuvent etre utiles, 

• il ne faut pas laisser une machine critique en libre acces, 

• il faut savoir utiliser vi. 


43.17.2. Demarrer en "single user" 

Au message boot: entrez 

• boot: linux single root=/dev/hdxx initrd=initrd-2.4.18.img 

• Charger le clavier suisse romand : loadkeys 

/usr/ lib/kbd/keymaps/ i38 6/ qwertz/ f r_CH-latinl . kmap . gz 

• monter la racine : 

root:-# mount -w -n -o remount / 

Remarques: 

• adapter /dev/hdxx au nom de votre disque 

• pour le detail des options : man mount 


43.18. Conclusion 

Vous devez maintenant etre en mesure: 

• d'expliquer le processus de demarrage de Linux, 

• modifier ce processus, 

• creer une disquette de depannage de Boot et de Root, 

• depanner un probleme d'amorgage de Linux. 


Chapitre 44. TP : Syteme de gestion de fichiers 


Ce TP va vous guider dans la manipulation des systemes de fichiers. 

A partir d’une distribution Debian GNU/Linux 

Lisez attentivement ce document une premiere fois sans lancer les commandes. 

Lisez egalement les pages de manuel des commandes avec man et info. 

44.1. Swap 

Sur une machine en runlevel 2 ou 5, relevez les daemons qui toument sur votre systeme 

root:-# ps axf 


Chapitre 44. TP : Syteme de gestion de fichiers 
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relevez egalement les informations concernant la memoire 


root:-# free 


passer en mode maintenance c'est a dire en runlevel 1 

root:-# init 1 # ou 
root:-# telinit 1 

man : ps runlevel free init inittab 

Ajout d’un fichier swap de 10MB 

root:-# mkdir /usr/local/f s 
root:-# cd /usr/local/f s 

root:-# dd if=/dev/zero of=test_swap bs=512 count=208000 
root:-# mkswap test_swap 
root:-# swapon test_swap -p 1 
root:-# cat /proc/swaps 

ajoutez dans /etc/fstab 

/usr/local/fs/test_swap none swap sw,pri=l 0 0 

au prochain reboot l’espace d’echange sera automatiquement charge 
man : dd mkswap swapon swapoff fstab 


44.2. ext 

ajoutez 2 partitions de 2GB chacune de type ext2 avec fdisk ou cfdisk et formatez les en type ext3 

root:~# mkfs.ext3 /dev/hdax 

root:~# mkfs.ext3 /dev/hday 

root:~# mkdir /mnt/datal /mnt/data2 

ajoutez dans /etc/fstab 

root:-# /dev/hdax /mnt/datal ext3 defaults 0 2 

root:-# /dev/hday /mnt/data2 ext3 defaults 0 2 

montez les partitions 

root:-# mount -a 

faites une synchro vers la nouvelle home 

root:-# rsync -av /home/ /mnt/datal /home 

faire un backup de la home 

root:-# mkdir /mnt/data2/backup 

root:-# cd /mnt/data2/backup 

root:-# tar czvf home-backup . tgz /home/ 

supprimer /home 


root:-# rm -rf /home/ 


faire un lien symbolique vers la nouvelle home 

root:-# In -s /mnt/datal/home /home 

une autre possibilite aurait ete de monter /dev/hdax dans un point de montage temporaire /mnt/tmp par exemple, de faire la 
synchro et le backup, supprimer le content! de /home et monter /dev/hdax sur /home que Ton aura recree 

man : mkfs fstab mount tar rsync 


44.3. loop 

Creation d’un systeme de fichiers virtuel 

root:~# mkdir /mnt/virtualf s 
root:~# cd /usr/local/f s 

Creation du fichier destine a la creation du systeme de fichier 
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root:-# dd if=/dev/zero of=test_ext3f s bs=512 count=208000 

Formatage 

root:-# mkfs.ext3 test_ext3fs 

Montage 

root:-# mount -o loop -t ext3 -v test_ext3fs /mnt/virtualf s 

ecrire dans fstab 

/usr/local/fs/test_ext3fs ext3 defaults 0 2 

Copie de fichiers dans le nouveau systeme de fichiers 

root:-# rsync -av /home/ /mnt/virtualf s/home 

Affichage de la liste des fichiers 

root:-# find /mnt/virtualf s 

Demontage du systeme de fichiers virtuel 

root:-# umount /mnt/virtualf s 


44.3.1. Alternative permettant de choisir le device loop 

root:-# losetup /dev/loopl test_ext3fs 

root:-# mount -v -t ext3 /dev/loopl /mnt/virtualfs 

root:-# find /mnt/virtualfs 

root:-# umount /mnt/virtualfs 

root:-# losetup -d /dev/loopl 


44.3.2. loop encrypte 

la meme chose en crypte (n'est pas l'objet du cours) 

root:-# losetup -e aes /dev/loopO test_ext3fs 
root:-# mkfs.ext3 /dev/loopO 

root:-# mount -t ext3 -v /dev/loopO /mnt/virtualfs 
root:-# rsync -av /home/ /mnt/virtualf s/home 
root:-# find /mnt/virtualfs 
root:-# umount /mnt/virtualfs 
root:-# losetup -d /dev/loopO 

root:-# mount -t ext3 -v -o loop, encryption=aes test_ext3fs /mnt/virtualfs 


44.3.3. loop iso9660 

monter des images de CDROM et/ou DVD sans lecteur. 

root:-# cd /usr/local/f s 

copie de l'image du CDROM dans un fichier 

root:-# cp /dev/cdrom image. iso 

calcul de l'empreinte digitale de l'image du CDROM et de l'image 

root:-# md5sum /dev/cdrom && md5sum image. iso 

verifiez que les deux empreintes sont identiques 

root:-# mkdir /mnt/virtualcdrom 

root:-# mount -o loop -t iso9660 -v image. iso /mnt/virtualcdrom 

vous pouvez ensuite ajouter cette entree dans la fstab pour avoir votre cdrom virtuel en permanence, ideal par exemple pour 
avoir plusieurs cd d’installation a disposition. 

/usr/local/fs/image . iso iso9660 loop, noauto, ro, exec 0 0 


44.3.4. Fin du TP 

arretez la machine 

root:-# init 0 


44.3.1 . Alternative permettant de choisir le device loop 
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redemarrez et a l'invite du boot saisissez : 

boot: linux single ou linux 1 

Modifier le runlevel de facon a demarrer en mode graphique en niveau 5 et non en niveau 2. Utiliser pour cela la 
commandeupdate-rc 

passer en mode multi-utilisateurs 

root:-# init 2 

verifiez que vos points de montage soient correct 

root:-# df -a 

Chapitre 45. CVS : Concurrent Version System 

CVS (Concurrent Version System) permet une simplification de la gestion de projets pour le travail en groupe, conserve 
l'historique de toutes les modifications effectuees sur un fichier permettant ainsi une tragabilite totale. 


45.1. Presentation 

CVS est un systeme de controle de versions de fichiers, il permet de conserver les modifications successives des fichiers places 
sous son controle (generalement du code source) et de conserver l'historique des changements et de leur description. II permet 
egalement de gerer l'edition de fichiers par plusieurs auteurs en parallele et de gerer les conflits possibles, de declencher des 
actions (mail, scripts, ...) a differents moments du cycle de vie des fichiers. 


45.2. Horloge 

L'horloge du serveur et toutes les machines clientes devront etre synchronisees a l'aide de NTP (voir le cours sur NTP), en effet 
CVS se sert de l'heure et de la date pour effectuer ses operations et cela est capital pour l'integrite de la base CVS. 


45.3. Le depot (repository) 

Le depot est la base centralisee de CVS a savoir les fichiers d' administration se trouvant dans le sous dossier CVSROOT ainsi 
que les dossiers des differents projets (livres, developpements, sites web, ...). Ce repertoire peut se trouver n'importe ou sur le 
systeme de fichiers (ex: /usr/local/cvsroot) et le path pour l’atteindre doit etre defini dans la variable d’environnement 
SCVSROOT. Afin que chaque utilisateur d’un groupe de travail puisse travailler sur un projet, le dossier 
($CVSROOT/nom_projet) devra avoir les droits en lecture et ecriture sur le groupe ainsi que le bit s positionne (garanti que 
chaque fichier/dossier ere appartient au groupe), il en sera de meme pour /var/lock/cvs/nom_projet. 


45.3.1. Initialisation du depot 

Dans le cas ou vous installez CVS pour la premiere fois, ou que vous n’avez pas de depot. Une fois la variable d’environnement 
CVSROOT definie lancez la commande 

mkdir /usr/local/cvsroot 
cvs init 

ou pour plus de controle sur la creation du depot 

cvs -d /usr/local/cvsroot init 
chown -R cvs : cvs /usr/local/cvsroot 
chmod g+rwxs /usr/local/cvsroot/CVSROOT 

Pour les acces en mode connecte, vous devrez ensuite creer le fichier SCVSROOT/CVSROOT/passwd ayant la structure 
suivante: 

login_CVS: [mot_de_passe_crypt ] [ : login_systeme] 

ce fichier etant particulierement sensible il est preferable de ne pas mettre les memes mots de passe que ceux pour se connecter 
au serveur et de donner les droit suivants au fichier passwd de cvs. 

chmod 400 $CVSROOT/CVSROOT/passwd 

c’est un des rares cas ou vous irez modifier un fichier dans $CVSROOT/CVSROOT. L’acces se fait par futilisation des 
commandes CVS. 
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45.3.2. Configuration 

Accedez au serveur avec un utilisateur faisant partie du groupe cvs. 


mkdir -/Projets/ 
cd -/Projets/ 

cvs -d /usr/local/cvsroot checkout CVSROOT 


si la variable CVSROOT est definie l'option —d /usr/local/cvsroot est facultative 


-rw-rw-r — 

i 

jmj 

jmj 

495 

mai 

17 

01:49 

checkoutlist 

-rw-rw-r — 

i 

jmj 

jmj 

760 

mai 

17 

01:49 

commitinf o 

-rw-rw-r — 

i 

jmj 

jmj 

986 

mai 

17 

02:35 

config 

drwxr-xr-x 

2 

jmj 

jmj 

4096 

mai 

23 

19:01 

CVS/ 

-rw-rw-r — 

1 

jmj 

jmj 

602 

mai 

17 

01:49 

cvswrappers 

-rw-rw-r — 

1 

jmj 

jmj 

1025 

mai 

17 

01:49 

editinf o 

-rw-rw-r — 

1 

jmj 

jmj 

1141 

mai 

17 

01:49 

loginf o 

-rw-rw-r — 

1 

jmj 

jmj 

1151 

mai 

17 

01:49 

modules 

-rw-rw-r — 

1 

jmj 

jmj 

564 

mai 

17 

01:49 

notify 

-rw-rw-r — 

1 

jmj 

jmj 

649 

mai 

17 

01:49 

rcsinf o 

-rw-rw-r — 

1 

jmj 

jmj 

879 

mai 

17 

01:49 

taginf o 

-rw-rw-r — 

1 

jmj 

jmj 

1026 

mai 

17 

01:49 

verifymsg 


Modifiez le fichier config : 

cd CVSROOT 
vi config 

# Exemple de fichier config 

SystemAuth=no 

LockDir=/ var/ lock/ cvs 

TopLevelAdmin=no 

LogHistory=TOEFWUPCGMAR 

RereadLogAfterVerify=always 

Validez les modifications 

cvs commit -m "Configuration initiale de CVS" config 


45.3.3. Acces au depot 

L'acces a cette base CVS peut s'effectuer de 5 manieres differentes: 

45.3.3.1. Direct 

Les fichiers dans ce cas doivent etre accessible directement au travers du systeme de fichier ou d’un systeme de fichier reparti 
tel que NFS ou SMB. Dans ce cas nous utilisons CVS en mode non connecte. 

CVSROOT= : local : /usr/local/cvsroot ou CVSROOT=/usr/local/cvsroot 


45.3.3.2. Serveur 

Le serveur CVS est en attente des requetes clientes, sur le port TCP 2401. A ajouter dans /etc/services: 

cvspserver 2401/tcp # CVS client/server operations 

dans /etc/inetd.conf si vous utilisez inetd 

cvspserver stream tcp nowait cvs /usr/bin/cvs cvs --allow-root=/usr/local/cvsroot pserver 

pour qu’inetd prenne en compte les changements dans son fichier de configuration 

killall -HUP inetd 

si vous utilisez xinetd 


# CVS configuration for xinetd don't forget to specify your CVSROOT in 

# /etc/cvs/cvs . conf . 
service cvspserver 


disable = no 

socket_type 

protocol 

wait 

user 

passenv 

server 

serve r_args 


= stream 
= tcp 
= no 
= root 
= PATH 

= /usr/sbin/cvspserver 

= -f — allow-root=/usr/local/cvsroot pserver 


45.3.2. Configuration 
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pour que xinetd prenne en compte les changements 

killall -HUP xinetd 

Sur la machine cliente definir la variable CVSROOT 

CVSROOT= : pserver : user @ server : /usr/ local /cvsroot 

L'authentification est realisee grace a la commande : 

cvs login 

qui enregistrera le mot de passe sous forme chiffree dans le fichier .cvspass si la connexion est acceptee (pour changer le nom 
du fichier.cvspass, definissez le dans $CVS_PASSFILE). Pour que la connexion aboutisse, ce fichier devra egalement exister 
dans SCVROOT/passwd 

L’algorithme ci-dessous explicite l’utilisation que fait pserver de ces fichier pour decider d’accorder un droit d’acces en lecture 
seule ou en lecture-ecriture a l'utilisateur user. 

SI user n’existe pas dans le fichier passwd OU son mot de passe est incorrect ALORS -> ACCES REFUSE 
SINON SI le fichier readers existe ET user y figure ALORS -> ACCES LECTURE SEULE 

SINON SI le fichier writers existe ET user n’y figure pas ALORS -> ACCES LECTURE SEULE SINON -> ACCES 
LECTURE-ECRITURE FINSI 

45.3.3.3. Kerberos 

Le serveur CVS est en attente sur le port TCP 1999 ajoutez dans /etc/services: 

cvskserver 1999/tcp 

dans inetd.conf 

cvskserver stream tcp nowait cvs /usr/bin/cvs cvs --allow-root=/usr/local/cvsroot kserver 

Sur la machine cliente definir la variable CVSROOT 

CVSROOT= : kserver : server : / usr /local /cvsroot 

sur la machine cliente utilisez kinit pour obtenir un ticket kerberos vous permettant ensuite de vous connecter et d’utiliser les 
commandes cvs. 


45.3.3.4. GSSAPI 

Permet d’acceder a des systemes securises tel que kerberos 5. CVS et ses outils auront ete compiles prealablement en incluant 
le support GSSAPI (option — with-gssapi). Ce mode est equivalent au mode serveur et utilise egalement le fichier 
SCVSROOT/passwd. Par defaut les communications ne sont ni authentifiees ni chiffrees et il faudra utiliser des options 
speciales de CVS (voir detail des commandes man et info). Sur la machine cliente definir la variable CVSROOT 

CVSROOT= : gserver : server : / usr /local /cvsroot 

45.3.3.5. rsh et ssh 

Dans ce mode le client accede au serveur en utilisant rsh. Sur la machine cliente definir la variable CVSROOT 

CVSROOT= : ext : user @ server : /usr/ local/ cvs root 


Verifier que la commande rsh fonctionne independamment de cvs. 

rsh -1 user server uname -a 

II faudrait configurer rsh pour ne pas demander a chaque fois le mot de passe (.rhosts ou encore host.equiv), mais cette 
methode n’est pas du tout securisee, nous utiliserons ssh en remplacement de rsh. Definissez la variable d’environnement 
CVS_RSH 

CVS_RSH=ssh 

Vous devrez mettre votre clef publique dans ~/.ssh/authorized_keys sur le serveur pour ne plus entrer le mot de passe a chaque 
fois. Nous retiendrons ce mode ou shell securise utilisant kerberos pom toutes communications distantes afin d’eviter d’ exposer 
votre systeme a des attaques, en chiffrant les connexions et les transfers de donnees. 

# depuis le poste client 

$ ssh-keygen -t dsa # PubkeyAuthentication : cle DSA pour SSH2 
$ cat . ssh/id_dsa.pub I ssh userl@remote \ 

"cat - >> . ssh/authorized_keys [2 ] " 
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45.3.4. Modules 

Chaque projet que vous ajoutez dans CVS correspond a un module. Pour ajouter un module 

mkdir /usr/local/cvsroot / nora_pro jet && mkdir /var/lock/cvs/nom_pro jet 

chowm cvs : groupe_du_pro jet /usr/local/cvsroot/nom_pro jet / var / lock/ cvs/nom_pro jet 

chmod g+rwxs /usr/local/cvsroot / nom_pro jet / var/lock/ cvs/nom_pro jet 


45.4. Les commandes principales de CVS 

• cvs login (pour se connecter en mode client server) 

• cvs logout (pour se deconnecter en mode client server) 

• cvs import -m "Liste nouveaux composants" nom_projet/HOWTO LFO VI (ajoute les fichiers du repertoire courant 
avec le vendeur-tag LFO et le release-tag VI, sans avoir de copie de travail et evite de recourir aux sous-commandes 
add et commit pour tous les fichiers et repertoires ajoutes) 

• cvs checkout nom_projet (recupere en local le module nom_projet) 

• cvs update (met a jour les fichiers de la copie de travail en local) 

• cvs status -v nom_fichier (visualise l'etat et les noms de versions symboliques du fichier) 

• cvs -n update (idem que cvs status mais les informations sont plus condensees) 

• cvs add -m (ajout de la procedure d'installation" INSTALL, ajoute le fichier INSTALL) 

• cvs remove -f nom_fichier (supprime physiquement et dans la base CVS nom_fichier), pour etre validee cette 
commande devra etre suivie d'un cvs commit 

• cvs commit -m "premiere version" index.html (archive la version dans CVS) 

• cvs export -k v -d version_prod -r STABLE-V1_1 nom_projet (extrait une copie du module nom_projet dans le 
repertoire projet_vl_l sans les repertoires de gestion utilises par CVS) 

• cd nom_projet/srv_server & cvs tag SRV-V1_0 (defini le nom symbolique SRV-V1_0 pour tous les fichiers de 
nom_proj et/srv_server) 

• cvs co -r SRV-V1_0 nom_projet/srv_server (recupere les fichiers ayant le tag SRV-V1_0 de nom_projet/srv_server) 

• cvs rtag SRV-V2_0 nom_projet (defini le nom symbolique SRV-V2_0 a la derniere version presente dans la base des 
fichiers du module nom_projet) 

• cvs diff — ifdef=Vl_2 — rl.l — rl.3 index.html (affiche les differences entre les versions 1.1 et 1.3 en separant les 
modifications par le symbole preprocesseur Vl_2) 

• cvs rdiff-s -r STABLE-V1_0 nom_projet (resume les differences entre la version STABLE-V1_0 et la derniere 
version en base) 

• cvs rdiff-u -r STABLE-V1_0 nom_projet (visualise les differences) 

• cvs release -d nom_projet (verifie que toutes vos modifications sont archivees et indique a CVS que vous n'utilisez 
plus votre copie de travail) 


Chapitre 46. Travaux pratiques : Concurrent Version System 

CVS (Concurrent Version System) permet une simplification de la gestion de projets pour le travail de groupe, conserve 
l'historique de toutes les modifications effectuees sur un fichier permettant ainsi une tragabilite totale. 


46.1. Objectifs 

• Installer et configurer CVS 

• Gestion d'un projet en mode non connecte 

• Gestion d'un projet en mode connecte 


46.2. Installer et configurer CVS 

Cette premiere partie vous indique comment installer et configurer un Serveur CVS 

apt-get install cvs 

dans /etc/profile et/ou -/.bashrc ~/.bash_profile ajoutez 


CVSROOT=/usr/ local /cvs root 
export CVSROOT 

creation du repertoire d' archive cvs 

mkdir /usr/local/cvsroot 

Ajoutez un utilisateur cvs et groupe cvs sans mot de passe et shell, vous ajouterez les administrateurs cvs dans son groupe. 
Initialisation de l'archive (cette action ne doit s'effectuer qu’une settle fois) 

cvs -d /usr/local/cvsroot init 

chown -R cvs : cvs /usr/local/cvsroot 

chmod g+rwxs /usr/local/cvsroot/CVSROOT 

mkdir /var/lock/cvs/CVSROOT 

chown -R cvs : cvs /var/lock/cvs/CVSROOT 
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chmod g+rwxs /var/lock/cvs/CVSROOT 


Les principaux fichiers d'administration de cvs sont maintenant crees 

Is -1R /usr/local/cvsroot/* 

/usr/ local /cvs root /CVSROOT : 


total 

-r — r- 

14 

-r — 

i 

CVS 

CVS 

495 

mai 

17 

01:49 

checkoutlist 

-r — r- 

-r — 

i 

CVS 

CVS 

760 

mai 

17 

01:49 

commitinf o 

-r — r- 

-r — 

i 

CVS 

CVS 

991 

mai 

17 

01:49 

config 

-r — r- 

-r — 

i 

CVS 

CVS 

602 

mai 

17 

01:49 

cvswrappers 

-r — r- 

-r — 

i 

CVS 

CVS 

1025 

mai 

17 

01:49 

editinfo 

drwxrwxr-x 

2 

CVS 

CVS 

4096 

mai 

17 

01:49 

Emptydir/ 

-rw-rw 

-rw- 

1 

CVS 

CVS 

68 

mai 

17 

02 : 00 

history 

-r — r- 

-r — 

1 

CVS 

CVS 

1141 

mai 

17 

01:49 

loginf o 

-r — r- 

-r — 

1 

CVS 

CVS 

1151 

mai 

17 

01:49 

modules 

-r — r- 

-r — 

1 

CVS 

CVS 

564 

mai 

17 

01:49 

notify 

-r — r- 

-r — 

1 

CVS 

CVS 

649 

mai 

17 

01:49 

rcsinf o 

-r — r- 

-r — 

1 

CVS 

CVS 

879 

mai 

17 

01:49 

taginf o 

-rw-rw 

-rw- 

1 

CVS 

CVS 

0 

mai 

17 

01:49 

val-tags 

-r — r- 

-r — 

1 

CVS 

CVS 

1026 

mai 

17 

01:49 

verifymsg 


Les fichiers d'administration ne doivent pas etre edites directement dans l'archive mais en faisant un checkout du dossier 
CVS ROOT (premier module de CVS) 

mkdir cvs_admin && cd cvs_admin 

cvs -d /usr/local/cvsroot checkout CVSROOT 

cd CVSROOT 

editez le fichier config et prenez en connaissance. 

# Pour faciliter les tests dans un premier temps nous mettrons 1* option suivante a no 

# afin que pserver ne controle pas users/passwords 
SystemAuth=no 

# Nous mettrons les fichiers de lock en dehors du repository de CVS. 

LockDir=/ var/ lock/ cvs 

# Par de creation au toplevel 
TopLevelAdmin=no 

# Toutes les transactions dans le fichier d'historique 
LogHistory=TOEFWUPCGMAR 

# On autorise le script verifymsg de changer le message de log. 

RereadLogAfterVerify=always 


envoyez vos modifications au serveur 
cvs commit 
liberez l'archive 
cd . . 

cvs release -d CVSROOT 


46.3. Gestion d'un projet en mode non connecte 

Vos projets sont connus sous le terme de module dans CVS. Creation du module test 

mkdir /usr/local/cvsroot/test 

chowm user:groupe /usr/local/cvsroot/test 

chmod g+rwxs /usr/local/cvsroot/test 

mkdir /var/lock/cvs/test 

chowm user:groupe /var/lock/cvs/test 

chmod g+rwxs /var/lock/cvs/test 

creez votre repertoire de travail 

cd ~ 

mkdir -p Pro jets/test/ 

copiez quelques fichiers de configuration de /etc/ dans Projets/test/ 

cd Projets/test && cp /etc/host* . 

importez votre projet 

cvs -d /usr/local/cvsroot import -m "Creation du module test" test LFO VI 
cd . . && rm -rf test/ && Is -la 
cvs -d /usr/local/cvsroot co test 
cd test && Is -la 

Editez le fichier hosts et apportez y quelques modifications, validez vos modifications 

cvs commit 
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cvs status 

dans un terminal connectez-vous avec un utilisateur different 

mkdir -p Projets 

cvs -d /usr/local/cvsroot co test 

ajoutez des fichiers au projet test 

cp /etc/aliases . && cp /etc/fstab . 
cvs add aliases fstab 

cvs commit -m "ajout du fichier aliases et fstab" aliases fstab 

liberez votre archive 
cd . . 

cvs release -d test 

retournez sur le compte utilisateur initial 

cd Projets/test 
cvs -n update 
cvs update 

liberez votre archive 

cd . . 

cvs release -d test 


46.4. Gestion d'un projet en mode connecte 

Definissez maintenant les variables suivantes (server etant le nom ou l'adresse ip d'une machine distante et user votre compte 
sur cette derniere) votre clef publique ssh devra se trouver dans le fichier authorized_keys de la machine distante, afin de ne 
pas devoir ressaisir le mot de passe a chaque action de cvs. pour plus de details voir le cours sur ssh, ainsi que les pages de 
manuel. 

CVSROOT= : ext : use r@ server : /usr/local/cvsroot 
CVS_RSH=ssh 

ajouter dans /etc/services: 

cvspserver 2401/tcp 


dans /etc/inetd.conf 

cvspserver stream tcp nowait cvs /usr/bin/cvs cvs — allow-root=/usr/local/cvsroot pserver 


forcez inetd a prendre en compte les modifications 

killall -HUP inetd 

recuperez le module test du serveur distant 

cd Projets 
cvs co test 


Chapitre 47. L'annuaire LDAP 


Un annuaire electronique est une solution permettant la creation d'une collection d'objets. Dans les reseaux, 
les annuaires permettent a l'echelle d'une entreprise de declarer tous les objets (utilisateurs, applications, 
equipements materiels...), et pour chaque objet de definir ses proprietes (attributs). 

Cela permet d'avoir un recensement de tous les objets dans une base de donnees. Cette base etant, le plus 
souvent repartie. Novell, Microsoft utilisent des bases de donnees d'annuaires (respectivement les NDS 
Netware Directory Services et AD Active Directory) pour la manipulation des ressources sur leurs reseaux. 

Les annuaires sont ensuites accessibles a partir de tous types duplications (outlook, mozilla, konqueror...), 
mais aussi par les processus d'identification/authentification, les processus systemes... 


47.1. Introduction 

LDAP (Light Directory Access Protocol) est un service d'annuaire derive de la norme X.500. La norme X.500 est tres lourde, 
LDAP en est une version allegee ("light") dans un sens absolument pas pejoratif. 
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Vous trouverez de bien meilleures descriptions du principe, concept et du protocole LDAP en suivant les references indiquees 
a la fin de ce document. 

Un serveur LDAP permet de centraliser des informations tres diverses. II offre de nombreux avantages : 

• un serveur d'annuaire (recensement de tous les objets d'un systeme) : c'est la fonction la plus connue, on peut trouver 
des serveurs LDAP chez bigfoot, netscape (netcentrer), infoseek et bien d’autres ; 

• Information sur les utilisateurs fnom, prenom...), et donnees d’authentification pour les utilisateurs : cela permet aussi 
la definition de droits. 

• Information pour les applications clientes et fonctions de serveur d’acces itinerant : cela permet de Stocker ses 
informations personnelles sur un serveur et de les recuperer lors de la connexion; 

• bien d’autres choses... 

LDAP supporte le chiffrement SSL et cohabite parfaitement avec les applications Samba, DNS, NFS... ce qui permet son 
utilisation pour des applications comme les serveurs de liste de diffusion(sympa par exemple). 

L'objet de cette sequence sera de voir comment installer, configurer puis administrer un serveur LDAP. Nous utiliserons la 
distribution OpenLDAP disponible sur les distributions Linux 


47.2. Presentation de LDAP 

LDAP fournit un ensemble d’outils. 

1 . un protocole permettant d’acceder a l’information contenue dans l’annuaire, 

2. un modele d’information definissant l’organisation et le type des donnees contenues dans l’annuaire, 

3. un modele de nommage definissant comment l’information est organisee et referencee 

4. un modele fonctionnel qui definit comment acceder a l'information, 

5. un modele de securite qui definit comment acceder aux donnees et comment celles-ci sont protegees. OpenLDAP 
est souvent configure avec SASL (Simple Authentication and Security Layer), qui permet les transactions cryptees 
avec les protocoles fonctionnant en mode connecte. 

6. un modele de duplication qui definit comment la base est repartie entre serveurs, 

7. des APIs pour developper des applications clientes, 

8. LDIF, (Ldap Data Interchange Format) un format d’echange de donnees. 


47.2.1. Le protocole 

Un protocole d’acces aux donnees. qui decrit comment ajouter, modifier, supprimer des donnees dans la base de donnee, quels 
protocoles de chiffrement (kerberos, ssl...), et quels mecanismes d’authentification sont utilises. Ce protocole est utilise dans la 
relation client/serveur, mais egalement entre serveurs (serveur/serveur) car une base de donnees LDAP peut etre repartie. 


47.2.2. Le modele de donnees 

47.2.2.1. Le Directory Information Tree 

LDAP fournit un modele d’organisation des donnees. Ces donnees sont organisees sous forme hierarchique. L'arbre est nomme 
Directory Information Tree (DIT). Le sommet (racine), contient le "suffixe". Chaque noeud represente une "entree" ou 
"Directory Entry Service" (DSE). Les donnees sont stockees sur un format de base de donnees hierarchique de type "dbm". Ce 
format est different des bases de donnees relationnelles, concues pour supporter de multiples mises a jour. DBM est concu pour 
supporter peu de mises a jour, mais de nombreuses consultations. 


Figure 47-1. LDAP : le DIT Directory Information Tree 


47.2.2.2. Classes d'objets, objets, attributs et schema 

Une entree (DSE) dnas le DIT correspond a un objet abstrait (organisation, ressource) ou concret (personne, equipement...). 

Les objets possedent une description dans une "classe d'objet". Une classe d'objet donne une representation modelisee des 
objets qu'elle represente en caracterisant tous les attributs des objets. 

Certaines classes dobjet ont fait l'objet d'une normalisation et sont reutilisables. Elies sont definies par un nom, un OID (Object 
Identifier), la liste des attributs (facultatifs ou obligatoires), et, pour chaque attribut, un type. Le type est lie a la nature 
(essentiellement texte ou binaire) des attributs utilises. 

Une classe d'objet est definie par un nom, un OID (Object IDentifier), la liste des attributs (facultatifs et obligatoires), un type. 
Le type est lie a la nature des attributs utilises. 

Chaque objet est compose d'attributs en fonction des types d'attributs decrits dans les classes d'objets. Un attribut est 
generalement un couple cle/valeur, mais peut etre caracterise par un nom, un OID, s'il est mono ou multi-evalue, un indicateur 
d'usage (facultatif/obligatoire), un format (voir par exemple pour les images). 
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Les OID sont normalises par la RFC2256 et sont issus d'un schema X500. Les OID sont tenus a jour par 1'IANA Internet 
Assigned Numbers Authority. Un OID est une sequence de chiffres separes par un point (Exemple 1.2. 3.4 ) qui permet 

d'identifier de facon unique un element du schema LDAP. 

Exemple de la la classe inetOrgPerson (depend de organizationalPerson) 


# The inetOrgPerson represents people who are associated with an 

# organization in some way. It is a structural class and is derived 

# from the organizationalPerson which is defined in X.521 [X521] . 

Objectclass ( 2.16.840.1.113730.3.2.2 < OID 

NAME 'inetOrgPerson' 

DESC 'RFC2798: Internet Organizational Person' 

SUP organizationalPerson 
STRUCTURAL 
MAY ( 

audio $ businessCategory $ carLicense $ departmentNumber $ 
displayName $ employeeNumber $ employeeType $ givenName $ 
homePhone $ homePostalAddress $ initials $ jpegPhoto $ 
labeledURI $ mail $ manager $ mobile $ o $ pager $ 
photo $ roomNumber $ secretary $ uid $ userCertif icate $ 
x500uniqueldentif ier $ pref erredLanguage $ 
userSMIMECertif icate $ userPKCS12 ) 

) 

et l'attibut employeeType 

# employeeType 

# Used to identify the employer to employee relationship. Typical values 

# used will be "Contractor", "Employee", "Intern", "Temp", "External", and 

# "Unknown" but any value may be used. 

Attributetype ( 2.16.840.1.113730.3.1.4 

NAME 'employeeType' 

DESC 'RFC2798: type of employment for a person' 

EQUALITY caselgnoreMatch 

SUBSTR caselgnoreSubstringsMatch 

SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 

Signification des mots reserves : 

DESC : Description 
SUP : Objet parent 

MUST : Attributs requis 
MAY : Attributs possibles 

Chaque objet de l'annuaire qui correspond a une classe d'objet est decrit par des valeurs en fonction des attributs qui decrivent 
la classe d'objets. Un attribut est generalement un couple cle/valeur, mais peut etre caracterise par un nom, un OID, indique s'il 
est mono ou multi-evalue, donne un indicateur d'usage (facultatif/obligatoire), impose un format (par exemple base64 pour les 
images, utf-8 pour les donnees). 

Les objets sont rattaches obligatoirement a au moins une classe d'objet. Une classe d'objet caracterise ou modelise les objets 
qui lui seront rattaches. On en deduit qu'un objet ne pourra pas avoir d'attribut non declare dans la classe d'objet. Par contre 
dans la classe d'objet, un attribut pourra etre soit optionnel, soit obligatoire. L'administrateur a deja des classes d'objets 
predefinies, il a la possibility d'en definir d'autres. 

Chaque objet herite des attributs des objets dont il herite. Quand on decrit un objet "fils", on doit decrire tous les liens de 
parente avec l'attribut "ObjetClass". Les objets forment une hierarchie, avec, au sommet, l'objet "top". Exemple pour enrichir 
l’objet "person" des attributs "technicalPerson". 

objectclass: top 
objectclass: myOrganization 
objectclass: person 
objectclass: technicalPerson 


Figure 47-2. LDAP : Heritage 


L’ensemble de la description des classes d'objet et des types d’attributs definissent le "schema". 

Une entree peut appartenir a plusieurs classes d'objets. Les attributs de l'objets sont la reunion des attributs de toutes les classes 
d'objets : 


Entry Type 
person 


Required Attributes Optional Attributes 
commonName (cn) mail 

surName (sn) mobile 

objectclass 


OrganizationUnit ou 

objectclass 


description 

localisation 


Organization o 


description 
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on jectClass 


Les OID sont normalises par la RFC2256 et sont issus d'un schema X55. Les OID sont tenus a jour par 1'IANA Internet 
Assigned Numbers Authority. Un OID est une sequence de chiffres separes par un point. Exemple 1.2. 3. 4 

Le "dn", ou Distinguished Name, est le chemin absolu de l'entree dans le DIT a partir de la racine. Par exemple : 


dc=org, dc=mydomaine , ou=person, uid=toor 


On peut utiliser aussi un nommage "relatif" par rapport a une position courante. Dans ce cas on utilise le RDN (Relative 
Distinguished Name). 


47.2.2.3. Le format d'echange de donnee LDIF 

Le format d'echange permet fimport/export de donnees des bases, mais sert egalement pour l'ajout ou la modification. Les 
donnees sont en ASCII codees en UTF-8, sauf pour le binaire qui est code en base64 (images par exemple). 

Les fichiers au format LDIF respectent une structure de description des objets et des commandes : 

Syntaxe generate : 

dn: distinguished name 
ob jectClass: cobject class 
ob jectClass: <object class 

<attribute type : <attribute value 
<attribute type : <attribute value 


Exemple : 

dn: cn= Manon Des Sources, ou= compta, dc=mydomain, dc=org 

ob jectClass: person 

ob jectClass: organization 

cn: AN GROSS I 

sn: GROSSI 

givenName : AM 

userPassword : { sha } KDIE3AL9DK 
uid: amg 

Les fichiers supportent egalement des commandes pour ajouter, modifier ou supprimer une entree. 


dn: distinguished name 
changetype cidentifier 
change operation identifier 
list of attributes... 


change operation identifier 
list of attributes 

<identifier : 

add (ajouter une entree, 
delete (suppression) , 
modrdn (modification du RDN) , 

modify (modification : add, replace, delete d'un attribut) 

On utilise le caractere pour separer 2 instructions. Par exemple : 

dn : cn= Morina Fuentes, ou=admin, dc=mydomain, dc=org 
changetype: modify 
add: telephonenumber 
telephonenumber : 05 55 55 55 55 

add: manager 

manager: cn= toor root, ou=admin, dc=mydomain, dc=org 


47.2.3. Les methodes d'acces 

Les operations de base sont resumees ici : 


Operation 

Search recherche dans l'annuaire d' objets 

Compare comparaison du contenu de deux objets 

Add ajout d'une entree 

Modify modification du contenu d'une entree 

Delete suppression d'un objet 

Rename (Modify DN) modification du DN d'une entree 
Bind connexion au serveur 

Unbind deconnexion 


Les requetes de type "search" ou "compare" re£oivent des parametres. 
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Parametre 
base object 
scope 

size limit 
time limit 
attrOnly 
search filter 
list of attributes 


l'endroit de 1 ' arbre ou doit commencer la recherche 

la profondeur de la recherche 

nombre de reponses limite 

temps maxi alloue pour la recherche 

renvoie ou pas la valeur des attributs en plus de leur type 
le filtre de recherche 

la liste des attributs que 1 1 on souhaite connaitre 


Le scope (Profondeur de recherche) 

Le scope definit la profondeur de la recherche dans f arbre des donnees. La figure montre la portee d'une recherche ou d'une 
comparaison en fonction du parametre scope. 

search scope=base recherche uniquement dans 1' entree definie 

search scope=one recherche dans 1' entree definie et le premier sous-niveau 

search scope = subtree, cherche dans toute la sous-arborescence . 


Figure 47-3. LDAP : Is scope 


search scope=base recherche uniquement dans l'entree definie 

search scope=onelever search, cherche dans tous les noeuds fils rattaches directement au noeud courant 
search scope = subtree, cherche dans toute la sous-arborescence. 

Les URL LDAP offrent aux client web un acces aux bases de donnees : 

ldap [s ] : //<hostname> : <port>/<base_dn>?\ 

<attributes>?<scope>?<f ilter> 

<base_dn> : DN de l'entree qui est le 

point de depart de la recherche 
<attributes> : les attributs que 1 ' on veut consulter 
<scope> : la profondeur de recherche dans le 

DIT a partir du 
<base_dn> :"base" | "one" | "sub" 

<filter> : filtre de recherche, 

par defaut (ob jectClass=* ) 


Exemples : 

ldap : / /ldap . netscape . com/ ou=Sales, o=Netscape, c=US?cn, \ 
tel, mail? scope=sub? (ob jetclass=person) 
ldap : / /ldap . point-libre . org/ cn=Manon, ou=Contact , o=point-libre . org 


47.2.4. Le langage de commande 


1. - slapadd, slapcat, slapindex, slappasswd, fournis avec les serveurs LDAP (utilisables sous le compte root). 

2. - ldapadd, Idapdelete, ldapmodify, ldapmodrdn, ldappasswd, ldapsearch, fournis avec les utilitaires ldap (utilisable 
par les utilisateurs et les applications). Ils sont fournis par le paquet (ldap-utils) 

Exemple : 

ldapsearch -x -h localhost -b "dc=mydomain, dc=f r" "ob jectclass=* " 

Recherche de tous les objets sur l'annuaire de la machine locale, a partir de la racine. (-b indique a partir de quel niveau la 
recherche doit etre executee). L'option « -x » indique de ne pas utiliser la methode d'authentification SASL si elle n'est pas 
activee. 

Idapdelete ’ cn= Jean Colombani, cn=mydomain, cn=f r ' 

Suppression d'une entree dans l'annuaire 

ldapadd -f /tmp/unFichierAuFormatLDIF 

Ajout dans l'annuaire a partir d'un fichier contenant des donnees au format LDIF. 

Note: Pour eviter d'avoir a preciser a chaque fois certains parametres (machine, port, annuaire...) il est possible de configurer 
le fichier de configuration « ldap.conf » qui sera utilise par les applications clientes. 
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47.3. Concevoir un annuaire 

47.3.1. Determiner les besoins, les donnees, le schema 

La premiere operation est une phase d'analyse qui va permettre de determiner l'organisation du systeme. Le resultat sera 
souvent representable sous une forme arborescente. Cette etape permet de determiner quel "schema" sera necessaire pour le 
contexte. 

LDAP fournit par defaut une hierarchie de classe deja complete. Ces classes font l'objet d’une normalisation. II sera necessaire 
d’en prendre connaissance, puis, ensuite de proceder aux extensions necessaires pour l'etude en cours. 


47.4. Creer une base de donnees 

Creer une base de donnees LDAP, va consister done d’abord a creer 

• une country (c) 

• une ou plusieurs organisation (o) a 1 ou plusieurs niveaux 

• definir les objets (feuilles de l’arbre) 

II est possible d’importer les informations a partir d’un fichier texte dans la base de donnees grace a un format d’echange de 
donnees, le format LDIF (Lightweight Data Interchange Format). 


47.5. Installer, configurer et Administrer LDAP 

Vous allez avoir schematiquement 4 etapes : 

1 . Installer les packages necessaires 

2. configurer les fichiers de configuration 

3. initialiser la base de donnees 

4. configurer un client et tester le ou les services a partir d’un client 

5. passer a l’administration 


47.5.1. Installer les packages sur le serveur 

II va falloir installer les packages OpenLDAP. La procedure est standard a partir de paquets (debian ou rpm), sinon a partir des 
sources. 

tar xzvf openldap-x . y . z . tgz 
cd openldap . x . y . z 
. / configure 
make 

make depend 
make test 
make install 


Installez egalement les packages perl, php et "develop" pour l’administration. 


ii slapd 
ii ldap-utils 
ii libldap2 
ii php4-ldap 


2.1.30-2 
2.1.30-2 
2.1.30-2 
4. 3. 8-1 


OpenLDAP server (slapd) 
OpenLDAP utilities 
OpenLDAP libraries 
LDAP module for php4 


II est interessant de prevoir aussi les bibliotheques de developpement. 


47.5.2. Les fichiers de configuration du serveur 

II faut bien identifier les objets a referencer et les objectifs de f annuaire. Les fichiers sont dans "/etc/openldap". 
Le premier fichier est "sldapd.conf" qui decrit les principaux parametres de votre annuaire : 

# $OpenLDAP : pkg/ldap/servers/slapd/slapd. conf , v 1.8. 8. 6 2001/04/20 23:32:43 kurt Exp $ 

# 

# See slapd. conf (5) for details on configuration options. 

# This file should NOT be world readable. 

# 

# Inclusion des schemas necessaires 

include / etc/ openldap/schema/core . schema 

include /etc/ openldap/schema/cosine . schema 

include / etc/openldap/ schema/ inetorgperson . schema 

include / etc/ openldap/ schema/ nis . schema 

# Options que vous pouvez modifier 

#pidfile //var/run/slapd.pid 

#argsfile //var/run/slapd . args 

####################################################################### 
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# ldbm database definitions 

####################################################################### 

# Choix du format de base de donnees pour le stockage des informations, 

database ldbm 

# Configurer le suffixe (racine) de l'annuaire 

# en fonction du domaine DNS 

suffix "dc=my-domain, dc=com" 

# ou d'une autre organisation 

#suffix "o=My Organization Name,c=US" 

# L ' administrateur de l'annuaire 

rootdn "cn=Manager, dc=my-domain, dc=com" 

# Le mot de passe de 1 ' administrateur, preferer une option cryptee 

# La commande htpasswd peut tres bien faire 1' affaire pour encrypter 

# rootpw secret 

# rootpw { crypt } ijFYNcSNctBYg 


# Emplacement de la base de donnees 

directory /var/lib/ldap 

# Creation des index. 

# Comme pour une base de donnees, indexer les rubriques 

# les plus utilisees. 

index ob jectClass, uid, uidNumber, gidNumber, memberUid eq 

index cn, mail, surname, givenname eq, subinitial 

# La replication ne sera pas utilisee ici 

# Vous pouvez repliquer tout ou partie d'un arbre 

# activee par le daemon slurpd 

# Directives de replication 

# sinon les mettre dans un fichier a part et utiliser 

# replogfile /chemincomplet/du/f ichier 

# Indiquer quels sont les serveurs replicats 

# et la methode d ' authentif ication 

# Ici le serveur local, se repliquera sur ldapl 

# replica host : ldap-1 . example . com : 38 9 

# bindmethod=simple 

# binddn="cn=replicat_slavel, dc=mydomain, dc=fr" 

# credential=UnMotDePasse 

# Acces par defaut sur la base 
def aultaccess read 

Proteger ensuite le fichier avec un "chmod 600 /etc/openldap/slapd.conf". 

Les autorisations d'acces necessitent une remarque. 

Ici faeces par defaut est "read", mais il est possible d'affiner. Par exemple avec des regies d'ecriture comme: 

access to <what> [ by <who> <none | compare | search | read | write>] 

# Donne un acces en ecriture pour le manager du domaine 
access to * by dn="cn=Manager, dc=mydomain, dc=f r" write 

# Donne un acces en lecture a tout le monde sur la base 
access to * by * read 

# Donne un acces en ecriture sur un attribut pour le manager 

# en lecture pour les autres. 
access to attr=uid 

by dn="manager , dc=mydomain, dc=f r " write 
by * none 

Le nombre d'options est tres important, utilisez la commande "man slapd.conf". 


47.6. Ressources 

LDAP HOWTO 

Chapitre 48. TP 1- Installer, configurer et Administrer LDAP 


Le but de ce TP est de decouvrir une premiere mise en oeuvre du service d'annuaire LDAP. 
Vous allez avoir schematiquement 4 etapes : 

1 . Installer les packages necessaires 

2. configurer les fichiers de configuration 


Chapitre 48. TP 1- Installer, configurer et Administrer LDAP 
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3. initialiser la base de donnees 

4. configurer un client et tester le ou les services a partir d'un client 

5. passer a I 'administration 


48.1. Installer les packages sur le serveur 

II va falloir installer les packages OpenLDAP. La procedure est standard a partir de paquets (debian ou rpm), sinon a partir des 
sources. 

tar xzvf openldap-x . y . z . tgz cd openldap . x . y . z 

. / configure 

make 

make depend 
make test 
make install 


Installez egalement les packages perl, php et "develop" pour 1'administration. 

$> rpm -qa I grep ldap 

mod_auth_l dap-1 . 6 . 0-7mdk 
libldap2-devel-2 . 0 . 25-7mdk 
libldap2-2 . 0 . 25-7mdk 
openldap-2 . 0 . 25-7mdk 
nss_ldap-l 94-3mdk 

libldap2-devel-static-2 . 0 . 25-7mdk 
openldap-back_ldap-2 . 0 . 25-7mdk 
openldap-back_sql-2 . 0 . 25-7mdk 
pam_l dap- 1 4 8 - 3mdk 
php-ldap-4 . 2 . 3-lmdk 
perl-ldap-0 . 26-2mdk 
openldap-client s-2 . 0 . 25-7mdk 
openldap-servers-2 . 0 . 25-7mdk 
openldap-migration-2 . 0 . 25-7mdk 
openldap-back_passwd-2 . 0 . 25-7mdk 
openldap-guide-2 . 0 . 25-7mdk 
openldap-back_dnssrv-2 . 0 . 25-7mdk 


11 est interessant de prevoir aussi les bibliotheques de developpement. 


48.2. Les fichiers de configuration du serveur 

II faut bien identifier les objets a referencer et les objectifs de l'annuaire. Les fichiers sont dans "/etc/openldap". 
Le premier fichier est "sldapd.conf" qui decrit les principaux parametres de votre annuaire : 

# $OpenLDAP : pkg/ldap/servers/slapd/slapd. conf , v 1.8.8. 6 2001/04/20 23:32:43 kurt Exp $ 

# 

# See slapd. conf (5) for details on configuration options. 

# This file should NOT be world readable. 

# 

# Inclusion des schemas necessaires 

include / etc/ openldap/schema/core . schema 

include / etc/ openldap/schema/cosine . schema 

include / etc/ openldap/ schema/ inetorgperson . schema 

include / etc/ openldap/ schema/ nis . schema 

# Options que vous pouvez modifier 

#pidfile //var/run/slapd.pid 

#argsfile //var/run/slapd. args 

####################################################################### 

# ldbm database definitions 

####################################################################### 

# Choix du format de base de donnees pour le stockage des informations, 

database ldbm 

# Configurer le suffixe (racine) de l'annuaire 

# en fonction du domaine DNS 

suffix "dc=my-domain, dc=com" 

# ou d'une autre organisation 

#suffix "o=My Organization Name,c=US" 

# L ' administrateur de l'annuaire 

rootdn "cn=Manager, dc=my-domain, dc=com" 

# Le mot de passe de 1 ' administrateur, preferer une option cryptee 

# La commande htpasswd peut tres bien faire 1' affaire pour encrypter 

# rootpw secret 


196 


48.1 . Installer les packages sur le serveur 





Tutoriel sur les serveurs 


# rootpw 


{ crypt } i jFYNcSNctBYg 


# Emplacement de la base de donnees 

directory /var/lib/ldap 

# Creation des index. 

# Comme pour une base de donnees, indexer les rubriques 

# les plus utilisees. 

index ob jectClass, uid, uidNumber, gidNumber, memberUid eq 

index cn, mail, surname, givenname eq, subinitial 

# La replication ne sera pas utilisee ici 

# Vous pouvez repliquer tout ou partie d'un arbre 

# activee par le daemon slurpd 

# Directives de replication 

# sinon les mettre dans un fichier a part et utiliser 

# replogfile /chemincomplet/du/f ichier 

# Indiquer quels sont les serveurs replicats 

# et la methode d ' authentif ication 

# Ici le serveur local, se repliquera sur ldapl 

#replica host : ldap-1 . example . com: 389 

# bindmethod=simple 

# binddn="cn=replicat_slavel, dc=mydomain, dc=fr" 

# credential=UnMotDePasse 

# Acces par defaut sur la base 
def aultaccess read 

Proteger ensuite le fichier avec un "chmod 600 /etc/openldap/slapd . conf 
Les autorisations d'acces necessitent une remarque. 

Ici faeces par defaut est "read", mais il est possible d'affiner. Par exemple avec des regies d'ecriture comme: 

access to <what> [ by <who> <none | compare | search | read | write>] 

# Donne un acces en ecriture pour le manager du domaine 
access to * by dn="cn=Manager, dc=mydomain, dc=f r" write 

# Donne un acces en lecture a tout le monde sur la base 
access to * by * read 

# Donne un acces en ecriture sur un attribut pour le manager 

# en lecture pour les autres. 
access to attr=uid 

by dn="manager, dc=mydomain, dc=f r" write 
by * none 

Pour configurer un replicat, procedez comme suit : 

# Configurez le fichier slrupd.conf du replicat 

# Ajoutez les options updatedn 

# Le dn replicat_slavel doit etre identique a celui declare sur le maitre. 
rootdn ="cn=replicat_slavel , dc=mydomain, dc=fr" 
rootpw=UnMotDePasse 

updatedn = "cn=replicat_slavel, dc=mydomain, dc=fr" 


Le nombre d'options est tres important, utilisez la commande "man slapd.conf". 

Chapitre 49. Installation d'un annuaire LDAP et utilisation du 
langage de commande 

49.1. Environnement 

Relevez l'emplacement des fichiers des configuration et des schemas sur votre machine. 

Le fichier ldap.conf et le fichier de configuration des applications clientes. 

Le fichier slapd.conf et le fichier de configuration du serveur. 

Le service serveur se nomme slapd. 

Verifier l'installation des schemas predefinis (generalement dans "/etc/shema" ou dans "/usr/share/openldap/schema/") 

Faites une sauvegarde de tous vos fichiers de configuration. 


Chapitre 49. Installation d'un annuaire LDAP et utilisation du langage de commande 
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Dans le repertoire "schema", sont references des definitions normalisees utilisables avec slapd. Les definitions, et ordre de 
definitions doivent respecter des regies (heritage des objets). 

Notez de quels fichiers heritent les definitions donnees dans le fichiers inetorgperson. schema 

Notez de quelles classes d'objets herite la classe inetorgperson Identifier les proprietes des classes dont depend la classe 
inetorgperson. Notez celles qui sont obligatoires. 


49.1.1. Configuration du fichier slapd.conf 

Modifier le fichier slapd.conf en adaptant l'exemple ci-dessous : 


Include 

include 

include 

include 

include 

include 

include 

include 

include 

include 

include 

include 


/usr/share/ openldap/ schema /cosine . schema 
/ usr/ share/openldap/schema/corba . schema 
/usr/ share/openldap/schema/inetorgperson . schema 
/ usr /share /openldap /schema/ java . schema 
/ usr/ share/openldap/schema/krb5-kdc . schema 
/usr/ share/openldap/schema/kerberosob ject . schema 
/ usr /share /openldap /schema/mi sc . schema 
/usr/ share/openldap/schema/nis . schema 
/usr/ share/openldap/schema/ openldap . schema 
/ us r/ share/ openldap /schema/aut of s . schema 
/ usr/ share/openldap/schema/samba . schema 
/usr/ share/ openldap /schema/ko lab . schema 


# Inclusion des schemas utilisateurs 
include / etc/openldap/ schema/local . schema 


# Definition des ACLs 

include /etc/openldap/ slapd. access . conf 


pidfile /var /run/ldap/slapd . pid 

argsfile /var/ run/ldap/ slapd. args 

modulepath /usr/lib/openldap 

# Support de TLS, il faut creer un certificat dans /etc/ssl/openldap/ldap .pern 

# et decommenter les lignes ci-dessous 

#TLSCertif icateFile /etc/ ssl/ openldap/ldap .pem 

#TLSCertif icateKeyFile /etc/ ssl/ openldap/ldap .pern 
#TLSCACertif icateFile /etc/ ssl/ openldap/ldap .pem 

# Journalisation 
loglevel 256 

########################################################### 

# database definitions 

########################################################### 

database bdb 

suffix "dc=foo, dc=org" 

rootdn "cn=Manager, dc=foo, dc=org" 

# Mot de passe d'acces a la racine de l'arbre. 

rootpw secret 

# rootpw { crypt } ijFYNcSNctBYg 

# Emplacement de la base de la base de donnees 

# The database directory MUST exist prior to running slapd AND 

# should only be accessable by the slapd/tools. Mode 700 recommended, 

directory /var/lib/ldap 

# Creation des index sur la base 

index ob jectClass, uid, uidNumber, gidNumber eq 

index cn, mail, surname, givenname eq, subinitial 

# Controle d'acces aux donnees 

# Basic ACL (deprecated in favour of ACLs in /etc/openldap/slapd . access . conf ) 
access to attr=userPassword 

by self write 
by anonymous auth 

by dn="cn=Manager, dc=foo, dc=org" write 
by * none 

access to * 

by dn="cn=manager, dc=foo, dc=org" write 
by * read 


Lancement du serveur 
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# /etc/init . d/slapd start 
Starting OpenLDAP : slapd. 

# ps aux | grep slapd 

root 17433 0.1 1.6 7780 2144 ? S 12:54 0:00 /usr/sbin/slapd 

root 17434 0.0 1.6 7780 2144 ? S 12:54 0:00 /usr/sbin/slapd 

root 17435 0.0 1.6 7780 2144 ? S 12:54 0:00 /usr/sbin/slapd 

root 17437 0.0 0.5 1716 716 pts/3 R 12:54 0:00 grep slapd 

# netstat -natup I grep LISTEN 

top 0 0 0.0.0.0:389 0.0. 0.0:* LISTEN 17433/slapd 
top 0 0 0.0.0.0:22 0.0. 0.0:* LISTEN 290/sshd 

Le serveur fonctionne bien. 


Identifiez a l'aide de la commande netstat, le port sur lequel « ecoute » par defaut le service Map. 


49.1.2. Creation de I'annuaire 

Vous allez utiliser un fichier au format ldif afin de creer 1'arbre initial et declarer l'administrateur. La base de donnees sera 
creee dans /var/lib/ldap. En cas d'erreur d'interpretation du fichier ldif, vous devrez relancer la commande. Pour cela : 


- arretez le serveur ldap, 

- supprimez la base de donnees 

(pas le repertoire, mais le contenu du repertoire) , 

- relancez le serveur, puis le script corrige. 

[ #] /etc/init . d/slapd stop 

[ #] rm -rf /var/lib/ldap/* 

[ #] /etc/init . d/slapd start 


Pour le fichier LDIF, vous pouvez voir ou utiliser les annexes pour l'exemple de fichier LDIF utilisable. 


49.1.3. Creation de I'annuaire 

Creer un fichier "base.ldiff" base sur celui ci : 


dn : dc=foo, dc=org 
objectClass: organization 
dc : foo 
o : foo 

telephoneNumber : 05 05 05 05 05 

street: cours du General de Gaulle 

postalCode: 87000 

postalAddress : Limoges 

1: Limoges 

st : Haute-Vienne 

dn : cn=manager, dc=foo, dc=org 
objectClass: top 
objectClass: person 
userPassword : secret 
cn : admin 

sn: Administrateur 


La creation de I'annuaire et l'ajout peut se faire, sous le compte root, avec les commandes : 

slapadd < leFICHIER. dif f 

Veriftez que le serveur a bien enregistre les premieres informations a l'aide la commande "slapcat". 
Note : il faut parfois redemarrer le service serveur pour qu'il tienne compte des modifications (ajouts). 


49.1.4. Enrichissement de I'annuaire 

Recuperez le jeu d'essai et ajoutez les entrees dans I'annuaire. 

slapadd < le_FICHIER_LDIFF 

Verifier le resultat a l'aide de la commande slapcat. 


49.1.5. Le langage de commande 

OpenLDAP fournit un langage et des API pour acceder a la base de donnees a partir de tous les langages (perl, php, python, 
c...) mais aussi du shell. 

Vous allez utiliser les commandes ldapsearch, ldapadd, ldapmodify 


49.1 .2. Creation de I'annuaire 
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Modifier le fichier Idap.conf de fa£on a ne pas avoir a preciser a chaque fois les parametres sur la ligne de commande 
(machine, et base de l'annuaire) 

BASE dc=foo, dc=org 

HOST 127.0.0.1 

Ainsi une ligne de commande : 

ldapsearch -x -h localhost -b ' dc=foo, dc=org' ' ob jectclass=person ' sn cn 

devient 

ldapsearch -x ' ob jectclass=person ' sn cn 

Exemple d'utilisation de la commande ldapsearch 

ldapsearch -x ' ob jectclass=* ' # On veut tous les objets 

ldapsearch -x ' ob jectclass=person ' sn cn # On recupere les cn et sn 

ldapsearch -x 'uid=mlx' mail # On veut le mail de la personnes d'uid mix 

Trouver les numeros de telephone de toutes les personnes. 

Donner les caracteristiques de la personne faisant partie de l'ou "user" et ayant pom uid "mix". 

Ajout d'un objet (mode interactif) avec ldapadd. 

II faut creer un fichier au format LDIF pour chaque objet que l'on souhaite ajouter. Void un exemple : 

dn : cn=be good, ou=user, dc=foo, dc=org 

objectclass: top 

objectclass: person 

objectclass : organizationalPerson 

objectclass: inetOrgPerson 

objectclass: posixAccount 

cn : be good 

sn: Bourg 

givenName: good 

uid: begood 

uidNumber : 1010 

gidNumber : 1010 

homedirectory : /home/begood 

loginshell : /bin/bash 

userpas sword : { crypt } 2/ya jBmqc3tYw 

mail: begood@foo.org 

telephoneNumber : 00-00-00-00-00 

street: none 

postalCode: 87400 

postaladdress : Chabant 

pref erredLanguage : fr 


Seul un compte ayant le droit d'ecrire "write" peut ajouter des occurrences. Ici vous n'utiliserez ces commandes avec un 
compte systeme standard (pas le compte root) 

$ ldapadd -x -D "cn=manager, dc=f oo, dc=org M -w secret -f leFICHIER. ldif 
ou alors 

$ ldapadd -x -D "cn=manager, dc=foo, dc=org" -W -f le_FICHIER_ldif f 

mais vous devrez saisir le mot de passe. 


Chapitre 50. L'annuaire LDAP 

50.1. Authentification systeme LDAP sur un systeme GNU/Linux 

Faites une sauvegarde de vos fichiers de configuration. 

root@uranus : /etc/ldap# cp Idap.conf ldap . conf . orig 
root@uranus : /etc/ldap# cp slapd.conf slapd. conf . orig 
root@uranus : /etc# cp nsswitch . conf nsswitch . conf . orig 
root@uranus : /etc# cp libnss-ldap . conf libnss-ldap . conf . orig 


Verifier que votre serveur LDAP fonctionne. 

Verifier que votre serveur Annuaire est operationnel. 


50.1.1. Configuration de I'environnement pour I'authentification systeme 

Les fichiers /etc/libnss-ldap.conf et /etc/pam_ldap.conf sont normalement configures. Sinon vous pouvez utiliser les 
commandes : 


dpkg-reconf igure libnss-ldap 
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dpkg-reconf igure libpam-ldap 


Prenez les options par defaut en prenant soin de tenir compte de la structure de votre annuaire. Pour nous : 


dc=point-libre, dc=org 


Vous devez egalement modifier le fichier /etc/nssiwtch.conf afin que les applications utilisent aussi bien les fichiers standards 
(passwd, shadow) que l'annuaire ldap. : 


passwd: files ldap 
group: files ldap 
shadow: files ldap 


50.1.2. Premiers tests de l'annuaire 

La commande getent passwd doit vous permettre de recuperer a la fois les comptes du fichier /etc/passwd, mais egalement les 
compte de l'annuaire ldap qui n'existent pas dans la base passwd. 

# getent passwd 

[ . . . ] 

mix : 2 /ya jBmqc3tYw :1005:1005: BOURG Jean : /home /mix : /bin/bash 
mly : 2 / ya jBmqc3tYw :1006:1006: BOURG Marine : /home/mly : /bin /bash 


Ces deux comptes proviennent bien de l'annuaire ldap. 


50.1.3. Verification du fonctionnement de l'annuaire. 

L'utilisateur mly n’a pas de compte systeme. II n’existe que dans l’annuaire ldap. Creez un repertoire et affectez-le au compte. 


# mkdir /home/mly 

# chown 1006:100 /home/mly 

# Is -al /home/mly 

drwxr-sr-x 2 mly users 4096 2003-06-09 13:50 . 

# Ici le serveur fonctionne car il substitue bien l'UID a 1'uidNumber 

# Is -al /home/mly 

# Ici le serveur LDAP n'a pas ete trouve ou il ne fonctionne pas. 

drwxr-sr-x 2 1006 users 4096 2003-06-09 13:50 . 


50.1.4. Mise en place de I'authentification 

On va mettre en place maintenant I'authentification ldap. Il faut modifier les fichiers de configuration qui assurent 
I'authentification. Mettez en debut de fichier : 

l/etc/pam. d/ login 

auth sufficient pam_ldap.so 

account sufficient pam_ldap.so 

password required pam_ldap.so 

#/etc/pam. d/passwd 

auth sufficient pam_ldap.so 

account sufficient pam_ldap.so 

password sufficient pam_ldap.so 

Verification de I'authentification : 

mlx@uranus : ~$ su mly 
Password: #ici taper toto 
mly@uranus : ~$ cd 
mly@uranus : ~$ pwd 
/home/mly 


Chapitre 51. L'annuaire LDAP avec PHP 

51.1. Utilisation de PHP avec LDAP 

Faites une sauvegarde de vos fichiers de configuration. 

Verifier que vos serveurs HTTP et LDAP fonctionnent. 

Verifier que votre serveur Annuaire est operationnel. 

51.1.1. Les principales fonctions 

$conn=ldap_connect (hote [ , port ] ) 

etablir une connexion avec un serveur LDAP, retourne un entier positif en cas de succes, FALSE en cas d'erreur 

Chapitre 51 . L'annuaire LDAP avec PHP 


201 








Tutoriel sur les serveurs 


$dn = "cn=admin, dc=foo, dc=org" ; $mdp= "secret" 
$cr=ldap_bind ( $conn, $dn, $mdp) //connexion authentifiee 
$cr=ldap_bind ( $conn) //connexion anonyme 

Retourne TRUE ou FALSE. 


$result=ldap_search ($conn, $dn, $filtre) 

Recherche sur le serveur LDAP avec le filtre Sfiltre et retourne un identifiant de resultat, ou bien FALSE en cas d'erreur. 


$n=ldap_count_entries ($conn, $result) 

Retourne le nombre d'entrees trouvees ou FALSE en cas d'erreur. 


$info=ldap_get_entries ($conn, $result) 

Retourne un tableau associatif multi-dimensionnel ou FALSE en cas d'erreur. Structure du tableau associatif : 

$info [ "count" ] = nombre d'entrees dans le resultat 

$info[0] : sous-tableau renfermant les infos de la premiere entree 
$info[n] ["dn"] : dn de la n-ieme entree du resultat 

$info[n] ["count"] : nombre d'attributs de la n-ieme entree 
$info[n] [m] : m-ieme attribut de la n-ieme entree 

info[n]["attribut"] ["count"] : nombre de valeur de cet attribut pour la n-ieme entree 

$info[n] ["attribut"] [m] : m-ieme valeur de 1'attribut pour la n-ieme entree 

$r=ldap_add ( $conn, $dn, $info) 

$dn est l'identification complete de l'entree a ajouter, et $info un tableau contenant les valeurs des attributs 


ldap_modify ( $conn, $dn, $info) 

modifie l'entree identifiee par $dn, avec les valeurs fournies dans le tableau $info. 


51.1.2. Acces anonyme pour une recherche 

Le script ci-dessous permet d'executer une recherche. Testez ce script avec la commande "php4 ./LeNomDuScript", puis a 
partir d'une requete http (via mozilla ou konqueror par exemple) 

<? 

$baseDN = "dc=f oo, dc=org" ; 

$ldapServer = "localhost"; 

$ldapServerPort = 389; 

$mdp=" secret " ; 

$dn = ' cn=manager, dc=f oo, dc=org 1 ; 

echo "Connexion au serveur <br />"; 

$conn=ldap_connect ( $ldapServer) ; 

// on teste : le serveur LDAP est-il trouve ? 
if ($conn) 

echo "Le resultat de connexion est ".$conn ."<br />"; 
else 

die ( "connexion impossible au serveur LDAP"); 

/* 2eme etape : on effectue une liaison au serveur, ici de type "anonyme" 

* pour une recherche permise par un acces en lecture seule */ 

// On dit qu ’ on utilise LDAP V3, sinon la V2 par defaut est utilise 
// et le bind ne passe pas. 

if (ldap_set_option ($conn, LDAP_OPT_PROTOCOL_VERSION, 3)) { 

echo "Utilisation de LDAPv3 \n"; 

} else { 

echo "Impossible d'utiliser LDAP V3\n"; 
exit; } 

$bindServerLDAP=ldap_bind ($conn) ; 


print ("Liaison au serveur : ". ldap_error ( $conn) . " \n" ) ; 
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// en cas de succes de la liaison, renvoie Vrai 
if ( $bindServerLDAP ) 

echo "Le resultat de connexion est $bindServerLDAP <br />"; 
else 

die ("Liaison impossible au serveur ldap 

/* 3eme etape : on effectue une recherche anonyme, avec le dn de base, 
par exemple, sur tous les noms commengant par B */ 

echo "Recherche suivant le filtre (sn=B*) <br />"; 

$query = " sn=B*"; 

$result=ldap_search ( $conn, $baseDN, $query) ; 

echo "Le resultat de la recherche est $result <br />"; 

echo "Le nombre d' entrees retournees est " 
echo ldap_count_entries ($conn, $result) . "<p />"; 
echo "Lecture de ces entrees . . . . <p />"; 

$info = ldap_get_entries ($conn, $result) ; 

echo "Donnees pour ". $info [ "count "]. " entrees:<p />"; 

for ($i=0; $i < $inf o [ "count "] ; $i++) { 

echo "dn est : ". $info[$i] ["cn"] . "<br />"; 

echo "premiere entree cn : ". $info[$i] ["cn"] [0] . "<br />"; 

echo "premier email : ". $info[$i] ["mail"] [0] . "<p />"; 

} 

/* 4eme etape : cloture de la session */ 
echo "Fermeture de la connexion"; 
ldap_close ($conn) ; 

?> 


51.1.3. Acces authentifie pour une recherche 

Modifiez le script de fa9on a obtenir une connexion authentifiee (manager/secret) et retournez la valeur du "sn" de l'admin. 

Construisez un formulaire html qui doit vous permettre de vous connecter en saisissant un compte utilisateur et un mot de 
passe sur l'annuaire LDAP via HTTP. 

Adapter le script afin qu'il realise l'authentification sur l'annuaire. 

Vous retournerez les informations en cas de succes, un message d'erreur en cas d'echec. 


Chapitre 52. Annexes a la sequence sur LDAP 

52.1. Exemple de fichier LDIF 

Exemple de fichier utilisable 

# Penser a recoder en UTF-8 

# avec recode ou iconv 

dn : dc=point-libre, dc=org 
objectclass: organization 
objectclass: dcObject 
o: point-libre.org 
dc : point-libre.org 
description: Annuaire de test 
postalCode: 87000 


dn : ou=ressource, dc=point-libre, dc=org 
objectclass: top 
objectclass: organizationalUnit 
ou : ressource 

description: Branche ressource 

dn : ou=user , dc=point-libre, dc=org 
objectclass: top 
objectclass: organizationalUnit 
ou : user 

description: Branche utilisateurs 


dn : ou=agenda, dc=point-libre , dc=org 
objectclass: top 
objectclass: organizationalUnit 
ou : agenda 

description: Branche contact 


dn : ou=people, dc=point-libre, dc=org 
objectclass: top 
objectclass: organizationalUnit 
ou : people 
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description: Branche personne 

dn : ou=service, dc=point-libre, dc=org 
objectclass: top 
objectclass: organizationalUnit 
ou: service 

description: Branche service 

dn: ou=etudiant, ou=people, dc=point-libre, dc=org 
objectclass: top 
objectclass: organizationalUnit 
ou : etudiant 

descript ion : Branche etudiant 

dn : ou=personnel, ou=people, dc=point-libre, dc=org 
objectclass: top 
objectclass: organizationalUnit 
ou: personnel 

description: Branche personnel 

dn: ou=nfs, ou=service, dc=point-libre, dc=org 
objectclass: top 
objectclass: organizationalUnit 
ou : nf s 

description : nf s 

dn : ou=groupe, ou=service, dc=point-libre, dc=org 
objectclass: top 
objectclass: organizationalUnit 
ou : groupe 

description: Groupes 

dn : cn=manager, ou=ressource, dc=point-libre, dc=org 
objectclass: top 
objectclass: organizationalrole 
cn : manager 

#Ajout d'un contact 

dn: cn=Aline BOURG, ou=agenda, dc=point-libre, dc=org 

objectclass: top 

objectclass: person 

objectclass: inetOrgPerson 

cn: BOURG Aline 

sn: Bourg 

givenName : Aline 

mail: bingo@point-libre.org 

telephoneNumber : 00-00-00-00-00 

street: none 

postalCode: 87400 

postaladdress : Chabant 

pref erredLanguage : fr 

#Ajout d'un utilisateur 

dn: cn=Aline BOURG, ou=user, dc=point-libre, dc=org 

objectclass: top 

objectclass: person 

objectclass: inetOrgPerson 

objectclass: posixAccount 

cn: BOURG Aline 

sn: Bourg 

givenName: Aline 

uid: mix 

uidNumber : 1005 

gidNumber : 1005 

homedirectory : /home/mix 

loginshell : /bin/bash 

use rpas sword : { crypt } 2/ya jBmqc3tYw 

mail: bingo@point-libre.org 

telephoneNumber: 00-00-00-00-00 

street: none 

postalCode: 87400 

postaladdress: Chabant 

pref erredLanguage : fr 

dn: cn=Marine BOURG, ou=user, dc=point-libre, dc=org 

objectclass: top 

objectclass: person 

objectclass: inetOrgPerson 

objectclass: posixAccount 

cn: BOURG Marine 

sn: Bourg 

givenName: Marine 

uid: mly 

uidNumber : 1006 

gidNumber : 1006 

homedirectory : /home/mly 

loginshell : /bin/bash 
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userpas sword : { crypt } 2/ya jBmqc3tYw 
mail: bingo@point-libre.org 
telephoneNumber : 00-00-00-00-00 
street: none 
postalCode: 87400 
postaladdress : Chabant 
pref erredLanguage : fr 


Creation de l'annuaire, ajout de donnees et test. 

# slapadd -1 init.ldiff 

# slapcat 

dn: dc=point-libre, dc=org 
objectClass: organization 
objectClass: dcObject 
o: point-libre.org 
dc : point-libre.org 
description: Annuaire de test 
postalCode: 87000 

dn : ou=ressource, dc=point-libre, dc=org 
objectClass: top 
objectClass: organizationalUnit 
ou: ressource 

description: Branche ressource 

dn : ou=user, dc=point-libre, dc=org 
objectClass: top 
objectClass: organizationalUnit 
ou: user 

description: Branche utilisateurs 

dn: ou=agenda, dc=point-libre, dc=org 
objectClass: top 
objectClass: organizationalUnit 
ou : agenda 

description: Branche contact 

dn : ou=people, dc=point-libre, dc=org 
objectClass: top 
objectClass: organizationalUnit 
ou: people 

description: Branche personne 

dn : ou=service, dc=point-libre, dc=org 
objectClass: top 
objectClass: organizationalUnit 
ou: service 

description: Branche service 

dn: ou=etudiant, ou=people, dc=point-libre, dc=org 
objectClass: top 
objectClass: organizationalUnit 
ou: etudiant 

description: Branche etudiant 

dn : ou=personnel, ou=people, dc=point-libre, dc=org 
objectClass: top 
objectClass: organizationalUnit 
ou: personnel 

description: Branche personnel 

dn : ou=nfs, ou=service, dc=point-libre, dc=org 
objectClass: top 
objectClass: organizationalUnit 
ou: nfs 

description:: bmZzICA= 

dn : ou=groupe, ou=service, dc=point-libre, dc=org 
objectClass: top 
objectClass: organizationalUnit 
ou : groupe 

description:: R3JvdXBlcyA= 

dn : cn=manager, ou=ressource, dc=point-libre, dc=org 
objectClass: top 
objectClass: organizationalrole 
cn: manager 

dn: cn=Jean BOURG, ou=agenda, dc=point-libre, dc=org 

objectClass: top 

objectClass: person 

objectClass: inetOrgPerson 

cn: BOURG Jean 

sn: Bourg 

givenName : Jean 

mail: bingo@point-libre.org 
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telephoneNumber : 00-00-00-00-00 
street: none 
postalCode: 87400 
postalAddress : Chabant 
pref erredLanguage : fr 

dn: cn=Jean BOURG, ou=user, dc=point-libre, dc=org 

objectClass: top 

objectClass: person 

objectClass: inetOrgPerson 

objectClass: posixAccount 

cn: BOURG Jean 

sn: Bourg 

givenName : Jean 

uid: mix 

uidNumber: 1005 

gidNumber: 1005 

homeDirectory : /home/mix 

loginShell: /bin/bash 

userPassword : : e2NyeXB0f TIveWFqQmlxYzN0WXc= 

mail: bingo@point-libre.org 

telephoneNumber: 00-00-00-00-00 

street: none 

postalCode: 87400 

postalAddress: Chabant 

pref erredLanguage : fr 


dn: cn=Marine BOURG, ou=user, dc=point-libre, dc=org 

objectClass: top 

objectClass: person 

objectClass: inetOrgPerson 

objectClass: posixAccount 

cn: BOURG Marine 

sn: Bourg 

givenName: Marine 

uid: mly 

uidNumber: 1006 

gidNumber: 1006 

homeDirectory: /home/mly 

loginShell: /bin/bash 

userPassword: : e2NyeXB0f TIveWFqQmlxYzN0WXc= 

mail: bingo@point-libre.org 

telephoneNumber: 00-00-00-00-00 

street: none 

postalCode: 87400 

postalAddress: Chabant 

pref erredLanguage : fr 


52.2. L'annuaire Idap vu de konqueror 

Figure 52-1. LDAP sous konqueror 


52.3. L'annuaire Idap vu de gq 

Figure 52-2. LDAP sous gq 


52.4. Le schema vu de gq 


Figure 52-3. Schema LDAP sous gq 


52.5. Authentification avec php sur LDAP 


<? 

$baseDN = "dc=foo, dc=org"; 
$ldapServer = "localhost"; 
$ldapServerPort = 389; 

$rdn=" admin" ; 

$mdp=" secret " ; 

$dn = ' cn=manager , dc=f oo, dc=org ' ; 
echo "Connexion au serveur <br />"; 
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$conn=ldap_connect ( $ldapServer) ; 

// on teste : le serveur LDAP est-il trouve ? 
if ($conn) 

echo "Le resultat de connexion est ".$conn ."<br />"; 
else 

die ( "connexion impossible au serveur LDAP"); 


/* 2eme etape : on effectue une liaison au serveur, ici de type "anonyme" 
* pour une recherche permise par un acces en lecture seule 
*/ 

// On dit qu 1 on utilise LDAP V3, sinon la V2 par defaut est utilise 
// et le bind ne passe pas. 

if (ldap_set_option ($conn, LDAP_0PT_PR010C0L_VERSI0N, 3)) { 

echo "Utilisation de LDAPv3 \n"; 

} else { 

echo "Impossible d'utiliser LDAP V3\n"; 
exit; 

} 


// Instruction de liaison. 

// Decommenter la ligne pour une connexion authentifiee 
// ou pour une connexion anonyme. 

// Connexion authentifiee 

// print ("Connexion authentifiee . . . <br />"); 

/ / $bindServerLDAP=ldap_bind ($conn, $dn, $mdp) ; 

// print ("Connexion anonyme ... <br />"); 

// $bindServerLDAP=ldap_bind ( $conn) ; 

print ("Liaison au serveur : ". ldap_error ( $conn) . " \n" ) ; 

// en cas de succes de la liaison, renvoie Vrai 
if ( $bindServerLDAP ) 

echo "Le resultat de connexion est $bindServerLDAP <br />"; 
else 

die ("Liaison impossible au serveur ldap ..."); 

/* 3eme etape : on effectue une recherche anonyme, avec le dn de base, 

* par exemple, sur tous les noms commengant par B 
*/ 

echo "Recherche suivant le filtre (sn=B*) <br />"; 

$query = "sn=B*"; 

$result=ldap_search ( $conn, $baseDN, $query) ; 

echo "Le resultat de la recherche est $result <br />"; 

echo "Le nombre d'entrees retournees est " . ldap_count_entries ($conn, $result ) . "<p />"; 
echo "Lecture de ces entrees . . . . <p />"; 

$info = ldap_get_entries ($conn, $result) ; 

echo "Donnees pour ". $info [ "count "]. " entrees:<p />"; 

for ($i=0; $i alt; $inf o [ "count "] ; $i++) { 

echo "dn est : ". $info[$i] ["cn"] . "<br />"; 

echo "premiere entree cn : ". $info[$i] ["cn"] [0] ."<br />"; 

echo "premier email : ". $info[$i] ["mail"] [0] . "<p />"; 

} 

/* 4eme etape : cloture de la session */ 
echo "Fermeture de la connexion"; 
ldap_close ($conn) ; 

> 


Chapitre 53. Planification previsionnelle des sequences LDAP 

53.1. Prevision des sequences 


1 . Premiere fiche de cours (fait) 

2. Install d'un serveur LDAP et authentification systeme (fait) 

3. Installation d'un secondaire (en cours) 

4. Developpement via les lib php, c, php et/ou perl (en cours) 

5. Intgration de l'authentification Samba ou d'autres services (en cours) 

6. Rajouter une note sur les differences de notation X500 et ldap dans le cours (en cours) 


Chapitre 54. Synchroniser ses machines avec NTP 


Chapitre 54. Synchroniser ses machines avec NTP 
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54.1. Introduction a ntpdate et ntpd 

NTP (Network Time Protocol) permet de synchroniser sa machine avec des serveurs via le reseau et de garder sa machine a 
1'heure. Nous allons voir deux methodes pour se synchroniser: ntpdate et ntpd. Ces deux outils peuvent s'utiliser de maniere 
complementaire ou bien de maniere independante. 


54.2. ntpdate 

ntpdate est un des moyens de synchroniser la machine. II va synchroniser quelle que soit la difference d’horaire avec le serveur. 


54.2.1. Installation de ntpdate 

apt-get install ntpdate 

dpkg demande un ou plusieurs serveurs NTP. Vous pouvez entrer les suivants par exemple: 

ntp .metas . ch 
swisstime . ethz . ch 
chronos . cru . f r 
ntp . univ-lyonl . f r 


Confirmez l’enregistrement du fichier de configuration de ntp. 

II est possible d’utiliser ntpdate directement sur la ligne de commande avec par exemple: 

# ntpdate ntp. metas. ch 

31 May 19:07:54 ntpdate [3085 ] : step time server 193.5.216.14 offset -7192.143171 sec 

Votre machine est maintenant a 1’heure du serveur ntp.metas.ch 


54.2.2. Configuration de ntpdate 

Par defaut l’installation avec apt-get configure pour executer ntpdate a chaque demarrage. On peut d’ailleurs le verifier 
facilement: 

# Is /etc/rcS.d/ I grep ntpdate 
S51ntpdate 

II est possible de verifier ce que dpkg a ajoute dans le fichier de configuration /etc/defaults/ntp-servers. Normalement vous 
devriez avoir ceci: 

NTPSERVERS="ntp .metas . ch" 


Desormais, au demarrage de la machine, ntpdate se lancera et synchronisera la machine. 


54.3. ntpd 

ntp et ntp-simple font tourner un daemon pour synchroniser en permanence la machine et ntp-doc contient toute la 
documentation au format HTML de NTP 


54.3.1. Installation de ntpd 

apt-get install ntp ntp-doc ntp-simple 

dpkg detecte que vous avez deja un fichier /etc/default/ntp-servers et propose de modifier votre configuration: 
choisissez no pour pourvoir modifier vous-meme le fichier de configuration, 
les fichiers principaux se trouvent aux endroits suivants: 

• /etc/ntp.conf 

Fichier de configuration de NTP, c'est la qu’on indique les serveurs avec lesquels ntpd doit se synchroniser. 

• /usr/share/doc/ntp-doc/html/index.htm 

La documentation ntp au format HTML 

• /usr/sbin/ntpd 

L’executable principal 

• /etc/init.d/ntp 

Le script d’initialisation de ntp 
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54.3.2. Configuration de ntpd 

II suffit d'editer le fichier /etc/ntp.conf (qui n'existe pas pour l'instant) et d'y mettre une liste de serveurs NTP valides. 

Utiliser plusieurs serveurs devrait augmenter la precision et eviter les problemes si un des serveurs ne repond pas. 

server ntp.metas.ch 
server swisstime . ethz . ch 
server chronos.cru.fr 
server ntp . univ-lyonl . f r 

II suffit maintenant de sauvegarder et relancer ntpd avec la commande: 

/etc/init . d/ntp restart 


54.4. Conclusion 

On le voit ces deux outils se completent: ntpdate "remet les pendules a l'heure" au boot alors que ntpd va synchroniser la 
machine durant l'uptime, de maniere tres precise et par petits reglages. .11 est parfaitement possible d'utiliser ntpdate en crontab 
afin de synchroniser la machine toutes les heures par exemple, et dans ce cas ntpd n'est plus du tout indispensable cependant il 
faut garder a l'esprit qu'il est bien plus precis (encore qu'a ce degre la vous ne verrez probablement pas la difference). 


54.5. Liens utiles 

• Une liste de serveurs http://www.eecis.udel.edu/~mills/ntp/servers.html 

• Tout ce qu'il y a a savoir sur le NTP http://www.eecis.udel.edu/~mills/ntp.html 


Chapitre 55. Elements de cours sur le routage et le filtrage de 
paquets IP 


Le document presente des elements sur le filtrage de paquets par le noyau linux. 

55.1. Routage, Filtrage sur les paquets IP 

Les paquets ip sont routes en fonction de leur adresse de destination et de leur adresse d'emission. Us utilisent un protocole de 
transport (UDP ou TCP). La session est identifiee par un port source et par un port de destination. 

Une connexion (session au sens OSI du terme) entre un processus client et un processus serveur est materialisee par le couple 
de triplets : 

(@IP-source, TCP/UDP, port source) , (@IP-dest., TCP/UDP, portdest.) 

Une session nous permet de determiner quelle application (service serveur) est sollicitee. 


Figure 55-1. Squelette de frame IP 


Ce sont les principaux elements que nous utiliseront dans le cadre du routage et du filtrage sur un reseau IP. Le schema nous 
montre qu'il sera possible de filtrer sur les adresses (hotes ou reseaux), les protocoles de transport ou les applications en filtrant 
sur les ports. 

La capture de trame ci-dessous, indique bien les elements presents dans une trame. 


Figure 55-2. Capture de trame sur le port 80 


L’analyse de traffic va consister a traiter les paquets en fonction d’un certain nombres de criteres. 


55.2. Technique de masquage et de translation d'adresse 

Le terme "translation" est la reprise du terme Anglais. Les documentations en Frangais tendent a utiliser plutot le terme de 
"traduction" dont la signification est plus proche de ce que fait reellement le noyau (et de la traduction frangaise du mode 
anglais "translation" ). Une adresse est ainsi "traduite en une autre". 

Cette technique est utilisee pour securiser un reseau en entree, limiter les sorties ou pom partager une ou plusieurs adresses 
publiques a un reseau prive (penurie d'adresses publiques). 


Chapitre 55. Elements de cours sur le routage et le filtrage de paquets IP 
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Dans la traduction d'adresse ou le masquage (ip masquerade), le routeur modifie dans le paquet l'adresse source (SNAT ou ip 
masquerade) ou l'adresse de destination (DNAT). La modification est realisee lors de l'envoi et du retour du paquet. 

II y a bien deux fonctions differentes : le routage et le filtrage. Le filtrage va consister a appliquer des regies supplementaires 
aux paquets qui sont routes. 

Ces deux fonctions sont prises en charge par le noyau Linux. Elies sont prises en charges par "ipchains" pour les noyaux 2.2.x 
et par "netfilter" pour les noyaux 2.4. 

Le filtrage consiste a mettre en place des regies qui seront appliquees aux paquets. Pour netfilter, on utilise la commande 
"iptables” qui permet de mettre en place ou modifier des chaines de regies. Les chaines sont des ensemble de regies qui sont 
appliquees sequentiellement aux paquets jusqu'a ce que l'une d'entre elles soit applicable. II y a toujours au moins une chaine 
par defaut. Ces chaines, sont placees dans des tables. 

II y a 3 tables principals pour netfilter (filter, nat et mangle). 

La table "filter" est la table par defaut qui contient les regies de filtrage. 

La table "nat" contient les regies pour faire de la traduction d'adresse. 

La table "mangle" contient les regies qui permettent de modifier les paquets ip, par exemple le champ TOS. 

Dans la table filter, il y a 3 principals chaines : (INPUT, OUTPUT, FORWARD). 

La chaine "INPUT" contient les regies appliquees aux paquets entrants qui sont generalement destinees aux processus locaux. 
La chaine "OUTPUT" contient les regies appliquees aux paquets sortants qui sont generalement emis par les processus locaux. 
La chaine "FORWARD" contient les regies appliquees aux paquets qui traversent. 


Figure 55-3. Routage pris en charge par le noyau 


Le routeur est une "boite noire". Chaque paquet entrant, quelque soit l'interface d'entree est "route" par le noyau. Les paquets 
qui ne font que traverser le routeur Linux, sont concernes par la chaine FORWARD. Ceux qui sont destines aux processus 
internes, c'est a dire qui entrent, sont concernes par la chaine INPUT, ceux emis par les processus internes, c'est a dire qui 
sortent, par la chaine OUTPUT. 


55.3. Masquerading et Forwarding 

Le forwarding est une fonction qui permet de router les paquets entre deux reseaux. 

Le masquerading est le fait de permettre aux machines de votre reseau interne de pouvoir sortir sur votre reseau externe en 
utilisant une settle adresse IP officielle. Cette adresse officielle est mise a la place de l’adresse IP de votre machine cliente et 
re-remplacee au retour du paquet. Dans le cas du masquerading, les machines internes ne peuvent pas etre atteintes sans regies 
supplementaires par une machine de 1’exterieur. 

Les techniques de masquerading sont vues dans les parties applications sur ipchains et iptables. 


Chapitre 56. ICMP 


Le protocole ICMP 


56.1. ICMP et le filtrage de paquets 

Les reseaux fonctionnant en IP ont besoin de s'envoyer des messages de controles, de temps a autre. Par exemple, cela permet 
de de dire qu’un hote est inaccessible ou encore que le paquet n’est pas arrive a destination faute de destination trop lointaine. 
Ces messages sont regroupes dans le protocole ICMP, Internet Control Message Protocol, ifc 792. 

Ce protocole peut facilement se filtrer avec les firewalls, il est done important de savoir quels messages on doit/veut bloquer et 
ceux que Ton veut voir traverser notre pare-feu. 

Chaque paquet ICMP a un code et un type. Ceux-ci etablissent une correspondance exacte sur le "but " du paquet : 

type 0 Reponse Echo 

code 0 = reponse a une demande d'echo 

type 3 Destination non accessible 
code 0 = reseau inaccessible 
code 1 = hote inaccessible 
code 2 = protocole non disponible 
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code 3 = port non accessible 

code 4 = fragmentation necessaire mais interdite 
code 5 = echec d ' acheminement source 

type 4 Controle de flux 

code 0 = ralentir le flux de 1' emission 
type 5 Redirection 


code 

0 

= redirection 

de 

datagramme 

sur 

la 

base 

du 

reseau 





code 

1 

= redirection 

de 

datagramme 

sur 

la 

base 

de 

1 ' adresse 

d' 

hote 



code 

2 

= redirection 

de 

datagramme 

sur 

la 

base 

du 

reseau et 

du 

Type 

de 

Service 

code 

3 

= redirection 

de 

datagramme 

sur 

la 

base 

de 

l'hote et 

du 

Type 

de 

Service 


type 8 Echo 

code 0 = envoi d'un echo 


type 11 Duree de vie ecoulee 

code 0 = duree de vie ecoulee avant arrivee a destination 
code 1 = temps limite de reassemblage du fragment depasse 


type 12 Erreur de Parametre 

code 0 = 1' erreur est indiquee par le pointeur 
type 13 Marqueur temporel 

code 0 = envoi d'une etiquette temporelle d' emission 
type 14 Reponse a marqueur temporel 

code 0 = envoi d'une etiquette temporelle de reception et de transmission 


type 15 Demande d ' inf ormation 

code 0 = demande du numero de reseau 

type 16 Reponse a demande d ' inf ormation 

code 0 = reponse du numero de reseau 
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Resume des commandes et exemples Ipchains. 


57.1. Langage d'lpchains 

Ipchains est utilisable avec les anciennes versions de netfilter sur les versions des noyaux 2.2. 

D'apres la page de man d'ipchains : 

ipchains -[ADC] chain rule-specification [options] 

ipchains -[RI] chain rulenum rule-specification [options] 

ipchains -D chain rulenum [options] 

ipchains -[LFZNX] [chain] [options] 

ipchains -P chain target [options] 

ipchains -M [ -L | -S ] [options] 

Ipchains est utilise pour configurer, maintenir et surveiller les regies du firewall IP du noyau Linux. Ces regies sont stockees 
dans quatre categories de chaines differentes, la chaine input, la chaine output, la chaine forward, les chaines utilisateurs. Pour 
chacune de ces categories une table de regies propre a la chaine est maintenue. 

target : une regie de firewall specific un ensemble de criteres a appliquer pour un paquet et une destination. Si le paquet ne 
peut etre traite, la regie suivante est examinee, si le paquet peut etre traite, alors la regie est appliquee. Cette regie peut etre : 

* JUMP RegleUtilisateur , le paquet sera traite par une regie d'une chaine utilisateur, 

* une des valeurs ACCEPT, DENY, REJECT, MASQ, REDIRECT, RETURN. 

* ACCEPT laisse le paquet traverser la chaine, 

* DENY jette purement et simplement le paquet, 

* MASQ est utilise pour masquer les adresses sources des paquets. 

Commandes : ces options specifient les actions a realiser. II est possible d'en specifier qu'une seule a la fois sur la ligne de 
commande. 

-A, — append Ajoute une regie a la fin de la chaine. 

-D, — delete Supprime une ou n regies dans une chaine. 

-I, — insert Insere une ou plusieurs regies dans la chaine mentionnee. 

-L, — list Donne une liste des regies en cours d ' application . 

-Z, — zero Initialise un compteur de paquet et de bytes des regies. 

-p , — protocol [! ] protocol Specif ie le protocole a traiter dans la regie, 
tcp, udp, icmp, all. 

-s, — source [!] address [ /mask] [!] [port [: port ] ] permet de definir la source. 
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Exemple -s 192.168.1.0/24 port 80 signifie tous les paquets adresses 

sur le port 80 et en provenance des machines du reseau d'adresse 192.168.1.0. 

Si le port est precise, la regie doit preciser a quel protocole elle s' applique 
(icmp, tcp, udp, all) . 

-d, — destination [!] address [ /mask] [!] [port [: port ] ] 

Meme remarque que pour le parametre " — source" mais applique a la destination. 

-j, — jump target utilise dans une regie pour definir une autre chaine 

de traitement du paquet (chaine utilisateur) ou pour indiquer le traitement 
a realiser. 

-i , — interface [!] name Parametre optionnel. 

Permet de specifier une regie qui va traiter les paquets entrants 
ou a destination d'une interface reseau. 


Attention a l'ecriture. Les cibles (target) sont sensibles a la casse. 

Exemples d'ecriture : 

Voir toutes les regies actives : 

ipchains -L ou ipchains -n -L (mode numerique sans resolution de nom) 

Supprimer les regies du firewall et fermer maintenant toutes les portes 
avec les commandes : 

ipchains -A input -p all -j DENY ou ipchains -A input -j DENY 
ipchains -A output -p all -j DENY 
ipchains -A forward -p all -j DENY 


La premiere chaine signifie que pour tous les protocoles qui entrent les paquets seront detruits. Pour modifier les regies par 
defaut des chaines input, output ou forward, utiliser -P 


ipchains -P forward -j DENY 

#par defaut les paquets seront refuses sur la chaine forward. 

; Supprime la premiere regie de la chaine input 
ipchains -D input 1 

; Refuser tous les paquets sur la chaine input 

ipchains -I input -j DENY ou alors ipchains -P input DENY 

; Cree une nouvelle chaine utilisateur "machaine" 
ipchains -N machaine 

; Ajoute a la chaine "machaine" une autorisation pour tous les paquets 
; de type HTTP a destination de la machine 192.168.90.1 
ipchains -A machaine -s 0.0. 0.0/0 www -d 192.168.90.1 -j ACCEPT 

; Redirige tous les paquets sur le port 8080 (service mandataire) 

ipchains -A input -p tcp -s 192.168.1.1/24 -d 0.0. 0.0/0 80 -j redirect 8080 

; Accepter les requetes DNS sur la machine 192.168.1.1 
ipchains -A input -p udp -s 0/0 dns -d 192.168.1.1/24 -j ACCEPT 

; Les deux regies suivantes permettent de se proteger de 
; 1 ' ip-spoof ing si ethO est 1 ' interface du reseau prive . 
ipchains -A input -i ethO -s ! 192.168.1.0/255.255.255.0 -j DENY 
ipchains -A input -i ! ethO -s 192.168.1.0/255.255.255.0 -j DENY 

— Configuration du Firewall - masquage : 

; Ouvrez toutes les portes du firewall a l'aide des commandes suivantes : 
ipchains -A input -j ACCEPT 
ipchains -A output -j ACCEPT 
ipchains -A forward -j ACCEPT 

# Pensez a verifiez l'etat des chaines a l'aide de la commande" ipchains -n -L" 

; Activer 1 ' ip masquerading a l'aide de la commande : 

ipchains -A forward -p all -s 192.168.1.0/24 -d 0.0. 0.0/0 -j MASQ 

; Cela signifie qu'il faudra masquer (effectuer une translation 
; d'adresse -j MASQ) pour tous les paquets qui proviennent (-s source) 

; du reseau 192.168.1.0 et vont a destination de n'importe quelle adresse. 


; Autres exemples commentes de regies. 

; Autoriser la circulation des protocoles FTP, 
ipchains -A output -p tcp -s 192.168.1.0/24 -d 

# pour les requetes HTTP 

ipchains -A output -p tcp -s 192.168.1.0/24 -d 

# pour les requetes FTP 

ipchains -A output -p tcp -s 192.168.1.0/24 -d 

# pour les requetes FTP-DATA 

ipchains -A output -p tcp -s 192.168.1.0/24 -d 
; ACCEPT 


HTTP et refuser tous les 


0 . 0 . 0 . 0/0 
0 . 0 . 0 . 0/0 
0 . 0 . 0 . 0/0 
0 . 0 . 0 . 0/0 


80 -j ACCEPT 
21 -j ACCEPT 
20 -j ACCEPT 
113 -j 


# pour les requetes AUTH 

ipchains -A output -s 192.168.1.0/24 -d 0.0. 0.0/0 -j DENY 


autres . 


; Le port tcp/80 permet de laisser sortir les requetes HTTP, 

; Le port tcp/21 permet d'ouvrir une session sur un hote distant. 
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; Le port tcp/20 permet l'echange de donnee (put/get), 
; Le port tcp/113 permet 1 ' authentif ication . 

; On refuse d'envoyer tout le reste. 


; Interdire toutes les requetes qui sortent vers l'exterieur, 

; sauf celles qui vont sur un port 80 (requetes http) , 

; Ici, on utilise les noms de protcoles definis dans /ets/services 
ipchains -A input -p top -d 0.0. 0.0/0 ! www -j DENY 

; Creer une nouvelle chaine qui aura en charge les paquets icmp. 

; Tous les paquets icmp seront detruits, 
ipchains -N ch-icmp 
ipchains -I ch-icmp -j DENY 

# detruire les paquets 

ipchains -I input -p icmp -j ch-icmp 

# si c'est un paquet icmp alors, traiter dans ch-icmp 


; Remarque : Le traitement des paquets icmp demande une 
; attention particuliere . Voir ipchains-HOWTO pour cela. 


; Creer une nouvelle chaine qui aura en charge les paquets provenant 
; du reseau interne et qui passent sur 1' interface ethO, 

ipchains -N int-ext /* paquets qui vont de 1 ' interieur vers l'exterieur */ 
ipchains -I int-ext -j ACCEPT /* on accepte tout c'est juste pour tester */ 
ipchains -I input -i ethO -j int-ext /* si c'est un paquet qui vient du reseau 

interne alors, traiter dans int-ext */ 


; Interdire la sortie de tous les protocoles sauf le protocole HTTP, 
; (deux formes d'ecriture possible). 


; Premiere solution : 

ipchains -A output -p tcp -s 192.168.1.0/24 -d 0.0. 0.0/0 80 -j ACCEPT 
ipchains -A output -s 192.168.1.0/24 -d 0.0. 0.0/0 -j DENY 

; Deuxieme solution 

ipchains -A output -p tcp -s 192.168.1.0/24 -d 0.0. 0.0/0 ! 8 0 -j DENY 

; /* Rejette tout ce qui n'est pas a destination d'un port 80. 

; Scenario, on souhaite : 

; 1 - pour toutes les machines d'un reseau prive sauf les machines 
; " .1 " et " .2 ", laisser sortir tous les paquets par translation 

; d'adresse sur les ports 25, 110 et 53 (smtp, pop3 et DNS) interdire tout le reste. 
; 2 - interdire pour toutes les machines, tout passage des protocoles MS. 


#Regles IPCHAINS du FW en date du 24/10/2000 
# On ferme d'abord tout 
ipchains -P forward DENY 
#SMTP on laisse passer 


#DNS oui avec les protocoles de transport UDP et TCP 
ipchains -A forward -j MASQ -p tcp -s 192.168.90.0/2^ 
ipchains -A forward -j MASQ -p udp -s 192.168.90.0/2^ 


#machines . 1 et .2 
ipchains -A forward -j MASQ 
ipchains -A forward -j MASQ 


#Les protocoles de MS (transport UDP et TCP) 
ipchains -A input -j DENY -p udp -s 192.168.90.0/24 -c 

ipchains -A input -j DENY -p udp -s 192.168.90.0/24 -< 

ipchains -A input -j DENY -p tcp -s 192.168.90.0/24 -< 

ipchains -A input -j DENY -p tcp -s 192.168.90.0/24 -c 


-d 

0. 

, 0 . 

.0. 

.0 

/o 

25 

-d 

0. 

, 0 . 

.0. 

.0 

/o 

110 

-d 

0. 

, 0 . 

.0. 

.0 

/o 

53 

-d 

0. 

, 0 , 

.0. 

.0 

/o 

53 

i.O. 

.0/0 





i.O. 

.0/0 





1 0. 

.0. 

, 0 . 

.0/0 


137 

1 0. 

.0. 

, 0 , 

.0/0 
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1 0. 

.0. 

, 0 . 

.0/0 


137 

1 0. 

.0. 

, 0 . 

.0/0 
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Langage et commandes Iptables 


58.1. Langage d'lptables 

Extrait de la page de manuel et de l'aide : 

Synopsis : 

Usage iptables -commande chaine specif ication_de_regle [options] 


Commandes : 
iptables -h 
iptables -L 
iptables -N chain 
iptables -X chain 
iptables -F [chain] 


Fonction : 
aide en ligne 

lister les chaines et regies actives 
creer une nouvelle chaine utilisateur 
supprimer chaine utilisateur 
vider une chaine (ou toutes) 
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iptables -P chain cible 
iptables -A chain regie 
iptables -I chain [numero] regie 
iptables -D chain [numero] [regie] 
iptables -R chain [numero] [regie] 
iptables -C chain 
iptables -Z [chain] 


traitement par defaut pour une regie 

ajouter une regie a la chaine 

inserer une chaine en position numero 

effacer une regie 

remplacer une regie 

tester un paquet dans une regie 

remettre a zero les compteurs 


Options : Les principaux parametres qui peuvent apparaitre dans la partie regie sont : 


Parametres : 

-i interface 
-o interface 
-t table 

-s [!] X.X.X.X/lg 

-d [!] X.X.X.X/lg 
-p protocole 

— source-port [!] [port [: port ] ] 

— destination-port [!] [port [: port ] ] 
— tcp-flags [ ! ] masq comp 
-j cible 


Exemple d'utilisation des regies : 

# iptables -F INPUT [-t filter] 

# iptables -P INPUT ACCEPT 

# iptables -A INPUT -i ethO -s ! 192.168.0.0.0/24 -j DROP 

Attention a l'ecriture. Les cibles (target) sont sensibles a la casse. 

Les tables passees en lignes de commandes ou dynamiquement, ne sont pas conservees lors du redemarage de la machine. II est 
necessaire d'utiliser les commandes iptables-save et iptables-restore pour les sauvegarder, ou les mettre dans un script qui est 
execute au demarrage de la machine, par exemple dans /etc/init.d/rc. local. 


appliquer la regie sur cette interface d'entree 

appliquer la regie sur cette interface de sortie 

table concernee ( filter par defaut) 

adresse source, longueur du masque 

le ! signifie la negation (cf. exemple) 

adresse dest (et longueur du masque) 

tcp / udp / icmp / all 

port source (ou intervalle de ports) 

port destination (ou intervalle de ports) 

flags de paquets tcp ( ex. SYN) 

ACCEPT/DROP/QUEUE/RETURN/REDIRECT/ 

MASQUERADE / DNAT / SNAT/ LOG 


58.2. Exemples d'utilisation d'iptables 

Prenez l'habitude avant toute chose de verifier l'etat des regies avant de proceder a des tests. Videz les au besoin avant de 
commencer. 

iptables -F INPUT && iptables -P INPUT ACCEPT 
iptables -F FORWARD && iptables -P FORWARD ACCEPT 
iptables -F OUTPUT && iptables -P OUTPUT ACCEPT 

Interdire en entree toute requete HTTP 

iptables -A INPUT -s 192.168.0.0/24 -p tcp — dport 80 -j REJECT 

Iptables permet de journaliser les informations avec l'option — log-prefix 

iptables -A INPUT -s 192.168.0.0/24 -p tcp — dport 80 -j REJECT \ 

— log-prefix "Session http rejetee" 


58.3. La traduction d'adresse - NAT 

La traduction d'adresse est geree avec les chaines PREROUTING, POSTROUTING et OUTPUT. Dans la chaine 
PREROUTING (avant routage), on ne peut modifier que 1' adresse de destination. L'adresse source est conservee. On fait done 
du DNAT. On dit qu’on fait du "NAT destination". Dans la chaine POSTROUTING, (apres routage) on ne peut modifier que 
l’adresse source. L'adresse de destination est conservee. On fait done du SNAT. On dit qu’on fait du "NAT source". 

Certaines applications aip, ftp, ire ... necessitent des options. Ces options sont compilees directement dans votre noyau ou sous 
forme de modules. 


Figure 58-1. Compilation du noyau pour netfilter 

Les modules sont dans : 

/ 1 ib /module s/VotreNoyau/ kernel /net/ ipv4 / netfilter/ 

58.3.1. Le DNAT ou NAT Destination 

On substitue a l’adresse de destination des paquets provenant du reseau public, une adresse du reseau local prive. Dans 
l’exemple, les paquets a destination de la machine 195.x sont rediriges vers la machine 172.y. On ne tient pas compte du port. 

iptables -F INPUT ; iptables -P INPUT ACCEPT 
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iptables -F OUTPUT ; iptables -P OUTPUT ACCEPT 
iptables -F FORWARD ; iptables -P FORWARD ACCEPT 
iptables -t nat -F PREROUTING 

iptables -t nat -A PREROUTING -d 195.115.19.35/32 \ 
-j DNAT — to-destination 172.16.0.1/32 


58.3.2. Le SNAT ou NAT Source 

Le SNAT consiste a substituer une adresse source dans un paquet sortant a son adresse source d'origine. On substitue ici, aux 
requetes provenant du reseau 192.168.0.0/24, une des 10 adresses publiques. 

iptables -F INPUT ; iptables -P INPUT ACCEPT 
iptables -F OUTPUT ; iptables -P OUTPUT ACCEPT 
iptables -F FORWARD ; iptables -P FORWARD ACCEPT 
iptables -t nat — F POSTROUTING 

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \ 

-j SNAT — to-source 195.115.90.1-195.115.90.10 


58.3.3. L'lP Masquerade 

Dans ce cas, les adresses privees, utilisent toutes la meme adresse publique. C'est le precede qui est utilise avec ipchains. II 
s'agit en fait de translation de port avec ipchains ou de SNAT (Nat Source) avec iptables. 

iptables -F INPUT ; iptables -P INPUT ACCEPT 
iptables -F OUTPUT ; iptables -P OUTPUT ACCEPT 
iptables -F FORWARD ; iptables -P FORWARD ACCEPT 
iptables -t nat -F POSTROUTING 

iptables -t nat -A POSTROUTING -s 10.10.10.0/8 \ 

-j SNAT — to-source 139.63.83.120 

Une autre option consiste a utiliser 1'option "MASQUERADE" 

iptables -t nat -F POSTROUTING 

iptables -t nat -A POSTROUTING -s 10.10.10.0/8 -j MASQUERADE 


58.3.4. Exemple sur un reseau prive 

L'exemple ci-dessous indique comment partager un acces internet chez soi pour plusieurs machines. Vous voulez partager un 
acces "dial" sur votre reseau. 


#if conf ig 

ethO Lien encap : Ethernet HWaddr 0 0 : 80 : C8 : 7A : 0A : D8 

inet adr : 1 92 . 1 68 . 0 . 1 Beast : 192 . 168 . 0 . 255 Masque : 255 . 255 . 255 . 0 
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric :1 
RX packets : 19950 errors :0 dropped: 0 overruns :0 frame :0 
TX packets : 24 988 errors:0 dropped:0 overruns : 0 carrier:0 
collisions:2 lg file transmission : 100 

RX bytes : 2 83007 6 (2.6 Mb) TX bytes : 12625623 (12.0 Mb) 
interruption : 5 Adresse de base: 0x240 

pppO Lien encap : Protocole Point-a-Point 

inet adr :212.47.248.114 P-t-P : 2 12 . 4 7 . 251 . 4 9 Masque : 255 . 255 . 255 . 255 

UP POINTOPOINT RUNNING NOARP MULTICAST MTU: 1524 Metric :1 

RX packets: 27 errors :0 dropped: 0 overruns :0 frame :0 

TX packets:29 errors:0 dropped:0 overruns:0 carrier:0 

collisions:0 lg file transmission : 3 

RX bytes: 4924 (4.8 Kb) TX bytes: 1365 (1.3 Kb) 

#echo 1 > /proc/sys/net/ipv4/ip_forward 

#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE 


iptables -t nat -L 

Chain PREROUTING (policy ACCEPT) 

target prot opt source 

Chain POSTROUTING (policy ACCEPT) 
target prot opt source 

MASQUERADE all — 192.168.90.0/24 

Chain OUTPUT (policy ACCEPT) 
target prot opt source 


destination 


destination 

anywhere 


destination 


Le tour est joue, vous n’avez plus qu’a configurer les autres clients avec un DNS et une passerelle par defaut. Votre acces wan 
est partage. 


Chapitre 59. Application sur le routage et le filtrage de 
paquets IP 
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L'objectif est de configurer un Pentium sous Linux, muni de trois cartes reseau 10/100 Base T, pour en faire 
un firewall. Voir schema reseau et maquette. Le TP est realisable avec Ipchains ou Iptables. 


59.1. Introduction 

L'objectif est de configurer une machines sous Linux, munie de trois cartes reseau 10/100 Base T, pour en faire un firewall. 
Pour visualiser les trames qui sont echangees sur le reseau, vous utiliserez un outil d’analyse de frames comme tcpdump, 
ethereal ou autre. Enfin pour filtrer le trafic et faire de la translation de port (PAT) la fonctionnalite ipchains du noyau Linux 
sera utilisee. Un outil comme iptraf est interessant pour visualiser la translation de poit sur le routeur. 

Le role d’un routeur (ou passerelle/gateway en terminologie IP) est de "router" les paquets entrants par une interface, vers une 
de ses interfaces de sortie, en fonction de l’adresse IP du destinataire (en fait du reseau auquel il appartient). 

Le routeur dispose d’une table de routage interne, visible avec la commande route. 

Exemple de table de routage : 


Destination 

Passerelle 

Genmask 

Indie 

Metric Ref 

Use 

Ifac 1 

192.168.0.0 

* 

255.255.255.0 

U 

0 

0 

0 

ethO 

172.16.0.0 

-k 

255.255.0.0 

0 

0 

0 

0 

ethl 

10.0.0.0 

-k 

255.0.0.0 

U 

0 

0 

0 

eth2 

127 .0.0.0 

* 

255.0.0.0 

U 

0 

0 

0 

lo 

default 

192.168.0.254 

0.0. 0.0 

UG 

0 

0 

0 

ethO 


Le noyau Linux sait router les paquets entre differentes interfaces et vers des reseaux. II faut que la fonction "ip forwarding" 
soit activee. Cela est faisable soit dynamiquement : 

echo 0/1 > /proc/sys/net/ipv4/ip_forward 

soit en modifiant un fichier de configuration. 

/etc/network/options sur debian 
/etc/sysconf ig/network sur mandrake 


59.2. Fonctions de filtrage 

Le filtrage des paquets au niveau IP, transport ou adresse est utilise pour des raisons de securite. Par exemple autoriser ou 
interdire faeces a un service, a un reseau ou a une machine(Voir fiche de cours). 

Avec les noyaux 2.2, il est possible de faire du filtrage et du masquage d’adresse IP par translation de port (PAT). Ipchains 
utilise, de base, trois chaines (input, output, forward) qui contiennent des regies de filtrage/masquage. 

Les regies de filtrage sont analysees de maniere sequentielle, des qu’une regie correspond au paquet analyse, elle est appliquee. 

Chaque paquet est analyse au travers des chaines. Si un filtre correspond , la regie associee est appliquee au paquet ( ACCEPT, 
DENY, MASQ ...). Sinon le filtre suivant est teste. A la fin de chaque chaine un traitement "par defaut" est applique en dernier 
ressort ( ACCEPT/DENY) 

Vous trouverez a la fin du document, un recapitulatif des commandes. 

References : les HOWTOs (Linux Ipchains et IP Masquerade Ton peut telecharger sur http://www.linuxdoc.org) 


59.3. TD 


Utiliser la documentation donnee a la fin du document. 


Figure 59-1. Schema maquette TD 


Ecrire les regies de filtrage iptables qui repondent aux differents problemes exprimes ci-dessous. 

Notation : 

A = 195 .0.0, B = 172 .16, 

A.O = toutes les machines du reseau 1, B.O = toutes les machines du 
reseau B 

A.l, B.l, indiquent respectivement 195.0.0.1 et 172.16.0.1 

1. Interdire tous les paquets de A.O vers B.O 

2. Interdire tous les paquets de A.O vers B.l 

3. Interdire tous les paquets NetBIOS sur A. 254 

4. Masquer toutes les adresses de A.O pour tous les protocoles 

5. Masquer toutes les adresses de A.O pour tous les protocoles uniquement pour les services SMTP et POP3 

6. N'autoriser que les paquets de A.l vers B.l, interdire tout le reste 

7. Interdire les paquets de A.l vers B.l, autoriser tout le reste 
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8. N'autoriser que les paquets telnet de A.l vers B.l, interdire tout le reste 

9. N'autoriser que les paquets TCP de A.O vers B.O, interdire tout le reste. 


59.4. Schema de la maquette pour le TP 

Schema d’un reseau simple. Le routeur a trois interfaces reseau. Les segments de classe A et le segment de classe B peuvent 
etre realises a l’aide de simple machines et de cables croises. 


Figure 59-2. Reseau simple 


Schema d’un reseau simple plus complexe. Quatre maquettes construites sur le schema precedent sont reliees a un segment 
federateur. Ce dernier peut etre le reseau de fetablissement. 


Figure 59-3. Reseau integre 


Vous allez realiser ce TP sur la maquette que vous avez monte pour le routage. Vous utiliserez trois machines C, R et S. R fait 
reference a votre routeur. C fait reference au client installe sur le reseau de classe B, S fait reference au serveur installe sur le 
reseau de classe A. 

C est sur un reseau "prive" (C sera client pour les tests) 

S est sur un reseau "public" 

R servira de routeur et pare-feu (firewall) entre votre reseau prive et le reseau public. 

Vous allez realiser ce TP en trois parties : 

1 . Premiere partie : verification du routage sur le routeur logiciel R, 

2. Deuxieme partie : mise en oeuvre de regies de filtrage simples et de la translation d’adresse sur R 

3. Troisieme partie : mise en place de regies de filtrages par adresse, par port et par protocole. 

Vous utiliserez la documentation de ipchains ou iptables ainsi que les exemples commentes qui vous sont fournis. 


59.4.1. Premiere partie : installation et configuration du routage 

1. Installez les interfaces reseau sur le routeur et demarrer la machine. 

2. Creez les fichiers de configuration des interfaces ethO, ethl et eth2. 

3. Installez le module de la carte dans le fichier " /etc/module. conf " si necessaire 

4. Lancez le service reseau sur R " /etc/rc.d/init. d/network restart ", relevez les routes. 

5. Verifiez a l’aide de la commande " ifconfig " que les interfaces sont bien actives. Corrigez tant que ce n’est pas le cas. 
Configurez et installez C sur votre reseau prive, 

6. Testez faeces de C vers les deux interfaces de R. Pourquoi faeces vers le reseau public ne fonctionne pas ? 

7. Activez le routage (ip forward) entre les interfaces reseau. (NETWORKING=yes dans /etc/sysconfig/network pour 
Mandrake ou ip_forward=yes dans /etc/network/options pour Debian. 

Vous pouvez egalement utiliser la commande : 

echo 1 > /proc/sys/net/ipv4/ip_forward 

Relancez le service reseau, relevez les routes de R a l'aide de la commande " route ". 

8. Verifiez avec une commande " ping " que les deux interfaces de R sont bien visibles a partir de C. 

9. Verifiez finstallation du programme iptraf sur R 


59.4.2. Regies de filtrage simples 

1 . Interdisez toutes les requetes de C vers S (exterieur) (tester) 

2. Autorisez toutes les requetes du client C vers S (tester) 

3. Interdisez tout passage sur la chaine FORWARD en laissant foption " ACCEPT " sur les chaines INPUT et OUTPUT 
(tester) 

4. Activez le masquage d’adresse pour toutes les machines du reseau auquel appartient C vers tous les autres reseaux 
(tester) 

5. Activez le masquage d’adresse pour toutes les machines du reseau auquel appartient C vers un seul des autres reseaux. 
Exemple si vous etes sur le domaine vert.org, activer le masquage vers bleu.org. Les paquets ne devront pas passer 
vers noir.org ou rouge.org. (tester) 

6. Restaurez l’etat realise au point 4 (apres masquage). Activez " iptraf " sur finterface publique. Verifiez que seule, 
fadresse ip de finterface du reseau prive apparait et que toutes les autres sont " masquees ". Notez la translation de 
port et identifiez les sessions. 


59.4. Schema de la maquette pour le TP 
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59.4.3. Regies de filtrage par adresse, port et protocoles 

1 . Relevez dans le fichier " /etc/protocol " et " /etc/services " les polls et noms des protocoles utilises par les services ftp 
et http. Refusez tout trafic de C vers l'exterieur a destination de ces ports. Verifier que telnet est accepte. (tester puis 
restaurer) 

2. N'autorisez a C faeces qu’a une seule machine (par exemple le client C de rouge.org si vous etes sur vert.org), refusez 
tout le reste. (tester puis restaurer) 

3. Refusez tout acces a la machine (192.168.X.1) de votre reseau (192. 168.x. 0) vers le reseau (192.168.y.O). (tester.) 
(tester aussi en modifiant l'adresse ip de votre client que celui-ci passe.) 

4. Relevez les ports et protocoles utilises par les services de resolution de noms Construisez les regies afin qu'elles 
repondent au probleme suivant. On desire que : toutes les machines du reseau prive puissent avoir acces a tous les 
autres services de n'importe quel reseau, la machine C de votre reseau prive ne peut pas envoyer de requete 
UDP/DOMAIN vers la machine S. 

(tester pour les requetes sur le serveur de noms puis pour des requetes sur le serveur ftp en utilisant l'adresse IP) 

5. Pour les deux traitements qui suivent, vous utiliserez deux ecritures, dont l'operateur " ! " (not) qui permet d'obtenir 
des complements. 

Autorisez toutes les requetes qui sortent vers l'exterieur, sauf celles qui vont sur un port ftp 
N'autorisez aucune requete hormis celles qui sont a destination du port 80 
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Outils et ressources complementaires 


60.1. Iptraf 

Iptraf est utile pour la visualisation des connexions tep, de la translation de port et de la translation d’adresse. 


Figure 60-1. iptraf 


Pour demarrer automatiquement le moniteur de traffic IP 

iptraf -i all 

Pour demarrer automatiquement les statistiques generates des interfaces 

iptraf -g 

Pour demarrer automatiquement les informations detaillees d’une interface 

iptraf -d ethO 

60.2. Documentations complementaires 

http://www.freenix.org/unix/linux/HOWTO/Liste-des-HOWTO.html 

http://www.linuxguruz.org/iptables/ 

Le guide de l’administration de la couche IP avec Linux : http://linux-ip.net/ 
fwbuilder : http://www.fwbuilder.org/ 
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Initiation au routage statique 


61.1. Initiation au routage 

Comment, au travers d’un reseau etendu comme Internet, un ordinateur arrive-t-il a communiquer avec un autre situe a des 
kilometres et dont il ne connait a peu pres rien si ce n'est son adresse IP ? Les reseaux de nombreux operateurs publics et prives 
assurent une connexion physique entre les deux appareils. Mais ce n’est pas tout. Cela fonctionne parce que le protocole IP est 
routable. Les objectifs de cette serie d’articles sont de vous presenter les principes du routage ainsi que la configuration des 
routeurs dans un reseau. 
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D'un point de vue utilisateur, nous considerons Internet comme sur la figure A : un immense et unique reseau. En realite, 
Internet est compose d'un ensemble de reseaux relies via des appareils particuliers : les routeurs (figure B). 


Figure 61-1. Internet 


Le protocole IP est capable de choisir un chemin (une route) suivant lequel les paquets de donnees seront relayes de proche en 
proche jusqu'au destinataire. A chaque relais sur la route correspond un routeur. L'ordinateur emetteur du paquet de donnees 
doit trouver le premier relais. Ensuite, chaque routeur est charge de trouver le suivant. Enfin, le dernier routeur remet le paquet 
sur le reseau du destinataire. Le routage IP fonctionne de fa£on totalement decentralisee au niveau des appareils qui constituent 
le reseau. Auctin n'a une vision globale de la route que prendront les paquets de donnees. 


61.1.1. Les principes du routage 

Avant d'aborder la partie pratique, je vais vous presenter quelques explications theoriques qui me semblent un prealable 
indispensable a une comprehension precise du routage. Je vais essayer de ne pas etre trop long. Le routage IP repose sur quatre 
principes : 


61.1.1.1. Une adresse IP est structuree 

Chaque interface reseau d'un appareil possede une adresse IP unique dans tout le reseau global. Cette adresse est structuree en 
deux partie : la premiere partie (ou prefixe) donne le numero du reseau. La seconde partie (ou suffixe) donne le numero de 
l'interface dans ce reseau. Un masque est associe a cette adresse et permet au logiciel IP de determiner le prefixe reseau d'une 
adresse en calculant un ET logique avec le masque. Exemple Tnterface : ethO Adresse IP : 192.168.2.254 Masque reseau : 
255.255.255.0 

192.168.2.1 ET 255.255.255.0 donne le prefixe reseau de l'adresse soit : 192.168.2.0 

Si vous ne vous sentez pas a l'aise avec ces notions, inutile d'aller plus loin : je vous renvoie vers les precedents numeros de 
Linux magazine qui ont deja traite ce point. 


61.1.1.2. Les paquets de donnees component l'adresse IP de I'emetteur et du destinataire 

Lors de remission, le protocole decoupe les donnees en petits paquets (souvent appeles datagrammes IP). Ces paquets ont 
tous la meme structure : 


Figure 61-2. Datagramme 


C'est l'en-tete qui contient, entre autre, les adresses de I'emetteur et du destinataire. Un appareil charge du routage analysera 
l’adresse du destinataire afin d’aiguiller le paquet vers le prochain routeur menant a sa destination. 


61.1.1.3. Chaque appareil possede une table de routage geree par le logiciel IP 

Une table de routage est une liste contenant essentiellement trois types d’information : des adresses reseau avec le masque 
reseau associe et le moyen de les atteindre. Soit le reseau est directement connecte a l’appareil, dans ce cas le moyen de 
l’atteindre est le nom de l’interface, soit, il s'agit de l'adresse du prochain routeur situe sur la route vers ce reseau. Par exemple, 
considerons sur un appareil quelconque, sa table de routage : 


Reseau 

Masaue 

Moven de 1' atteindre 

192.168.2.0 

255.255.255.0 

ethO 

100.0.0.0 

255.0.0.0 

ethl 

101.0.0.0 

255.0.0.0 

eth2 

192.168.1.0 

255.255.255.0 

100.0.0.1 

192.168.3.0 

255.255.255.0 

101.0.0.2 


Cette table est riche d'enseignements. On apprend tres precisemment que l'appareil possede trois interfaces reseau (ethO, ethl, 
eth2) ainsi que les adresses IP des reseaux qui sont directement relies a ces interfaces. On connait les adresses IP de deux 
routeurs. On sait qu'il existe deux reseaux 192.168.1.0 et 192.168.3.0 et qu'ils sont respectivement derriere les routeurs 
100.0.0.1 et 101.0.0.2. Par contre, il est impossible d'affirmer que ces deux reseaux sont directement relies a ces routeurs. Pour 
resumer, on peut dresser le schema suivant : 


Figure 61-3. Topologie 1 


Quelques observations complementaires : 


61 .1 .1 . Les principes du routage 
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1. - etant donne que l'appareil observe possede trois interfaces, c'est tres probablement un routenr. Cependant, notez 
que tout appareil fonctionnant sous TCP/IP possede une table de routage (qu’il soit routeur ou non); 

2 . - pour que le routage fonctionne, il est imperatif que toutes les interfaces reseau possedant le meme prefixe reseau 
soient reliees au meme reseau physique. 


61.1.1.4. Tous les appareils sous IP executent le meme algorithme 

Lors de remission d’un paquet de donnees, le logiciel IP recherche une correspondance dans la table en appliquant le masque 
reseau de chaque ligne avec l'adresse IP de destination du paquet. Notez qu’il parcourt la table dans l’ordre decroissant des 
masques afin de garantir le best match (la correspondance la plus precise entre l'adresse dans la table et l'adresse de 
destination). 

Au total, seules quatre possibilites sont imaginables : 

• ce prefixe correspond a celui d'un reseau directement connecte : il y a remise directe du paquet sur le reseau et le 
routage est termine. 

• ce prefixe correspond a celui d'un reseau accessible via un routeur : on recupere l'adresse physique de ce routeur et on 
lui transmet le paquet. Notez que l'adresse IP de l'emetteur reste inchangee. 

• ce prefixe n'a pas de correspondance dans la table mais il existe un routeur par defaut dans la table : on transmet au 
routeur par defaut. 

• si aucun des trois cas precedents n'est rempli, on declare une erreur de routage. 

Si tous les appareils executent le meme algorithme de routage, alors qu'est-ce qui differencie un simple ordinateur d'un routeur 
? Un element fondamental : un routeur est en mesure de relayer des paquets re 9 us et dont il n'est pas l'emetteur. 


61.1.2. Place a la pratique 

Voila, vous savez tout sur les aspects theoriques. Une mise en pratique est maintenant indispensable. Je vous propose de 
travailler avec le routeur logiciel GNU Zebra. C’est, a mon sens, un excellent logiciel, pour les raisons suivantes : 

• c'est un logiciel libre sous licence GNU ; 

• il propose une interface de configuration interactive accessible via telnet ; 

• il fonctionne selon une philosophie et un langage de configuration proche de routeurs repandus dans les entreprises 
(ce qui permet d’avoir acces a une bonne bibliographie); 

• il supporte les principaux protocoles de routage (nous developperons ce point dans la deuxieme partie de cet article); 

• il fonctionne avec Ipv 6 . 

Les manipulations presentees ci-apres ont ete realisees avec Zebra 0.91a sous une Redhat 7.2. Ce logiciel est prevu pour 
fonctionner sous Linux (noyau 2.0.37 et suivants) et BSD. Une version pour Hurd est prevue. 

Je vous propose de travailler avec la maquette suivante : 


Figure 61-4. Topologie pratique 


Ce reseau est compose de 3 routeurs (Rl, R2 et R3) et de trois stations (SI, S2, S3). Je suppose que toutes les interfaces reseau 
sont actives et correctement configurees. Les masques reseau a utiliser sont les masques par defaut de la classe d’adresse 
(255.0.0.0 pour les adresses com mencant par 100 et 101 et 255.255.255.0 pour les adresses commerKjant par 192). 


61 .1 .2.1 . Mise en place des routeurs 

Zebra doit etre installe sur chaque ordinateur qui fera office de routeur. Vous pouvez vous procurer des paquetages 
d’installation ou bien compiler le logiciel a partir des fichiers sources. Dans ce cas, l’installation se fait par les habituels 
./configure ; make ; make install . Cette phase produit plusieurs executables (un par protocole de routage) mais nous 
n’utiliserons pour l’instant que zebra. En principe, les executables ont ete copies dans /usr/local/bin et les fichiers de 
configuration dans /usr/local/etc (ils portent le meme nom que l’executable avec l’extension .conf). Suivant la methode 
d’installation, ils pourront etre situes ailleurs, ce n’est pas un probleme. Pour une aide plus detaillee, reportez-vous sur mon 
site, vous y trouverez une traduction (rancaise du manuel. 

Avant de charger le demon de routage, sur chaque routeur creez un fichier /usr/local/etc/zebra.conf. Inserez les deux lignes 
suivantes :hostname Rx(Zebra) ! remplacez le x par le numero du routeurpassword foo 

A la place de foo, indiquez le mot de passe que vous souhaitez saisir lorsque vous vous connecterez au routeur via telnet. 
Maintenant, vous pouvez lancer le demon de routage avec la commande zebra -d afin qu’il s'execute en tache de fond. 


61.1.2.2. Configuration des stations 

Placons-nous dans le shell de S 1 et observons la configuration des interfaces : 

SI # ifconfigethO Lien encap : Ethernet HWaddr 00:50:56:40:40:98 
inet adr : 1 92 . 1 68 . 1 . 1 Beast : 1 92 . 1 68 . 1 . 255 Masque : 255 . 255 . 255 . 0 
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric :1 
RXpackets:89 errors: 0 dropped: 0 overruns :0 frame :0* 
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TX packets: 58 errors : 0 dropped: 0 overruns :0 carrier :0 
collisions:0 lg file transmission : 100 
RX bytes:6771 (6.6 Kb) TX bytes:3357 (3.2 Kb) 

Interruption : 10 Adresse de base: 0x1080 

lo Lien encap:Boucle locale 

inet adr : 127 . 0 . 0 . 1 Masque : 255 . 0 . 0 . 0 

UP LOOPBACK RUNNING MTU: 16436 Metric :1 

RX packets: 77 errors : 0 dropped: 0 overruns :0 frame :0 

TX packets: 77 errors : 0 dropped: 0 overruns :0 carrier :0 

collisions:0 lg file transmission : 0 

RX bytes:4758 (4.6 Kb) TX bytes:4758 (4.6 Kb) 

Cet appareil dispose d'une interface Ethernet active nominee ethO ainsi que de l'interface de bouclage logiciel lo. Toute 
machine fonctionnant avec IP possede cette interface. 

Je vous ai dit tout a l'heure que tout appareil fonctionnant sous IP disposait d'une table de routage. Listons le content! de cette 
table sur S 1 : 

SI # route 


Destination 

Passerelle 

Genmask 

Indie 

Metric 

Ref 

Use 

Iface 

192.168.1.0 

* 

255.255.255.0 

U 

0 

0 

0 

ethO 

127.0.0.0 

* 

255.0.0.0 

U 

0 

0 

0 

lo 


A partir des adresses IP des interfaces de l'ordinateur, le logiciel IP en a deduit cette table de routage elementaire. Pour lui, 
toutes les machines qui disposent d'une adresse commeiujant par 192.168.1.0 sont forcement sur le reseau physique connecte a 
l'interface ethO. 

Conclusion, si je tente un ping vers une adresse de ce reseau (et si une machine possede cette adresse), j'obtiens une reponse. 
Essayons entre SI et R1 qui font partie du meme reseau : 

SI # ping 192.168.1.254 

PING 192.168.1.254 (192.168.1.254) from 192.168.1.1 : 56(84) bytes of data. 

64 bytes from 192.168.1.254: icmp_seq=0 ttl=255 time=23.411 msec 
Warning: time of day goes back, taking countermeasures. 

64 bytes from 192.168.1.254: icmp_seq=l ttl=255 time=2.308 msec 
192.168.1.254 ping statistics 

2 packets transmitted, 2 packets received, 0% packet loss 
round-trip min/avg/max/mdev = 2.308/12.859/23.411/10.552 ms 

Je cherche a contacter un appareil dont l’adresse commence par 192.168.1.0. Cette adresse figure dans la table routage, done 
tout va bien. 

Essayons maintenant de contacter l'interface ethl de R1 : 

SI # ping 100.0.0.1 connect: Network is unreachable 

La sanction est immediate. En clair, votre systeme d'exploitation favori vous repond : "desole, mais je n'ai absolument aucune 
idee de la fa£on dont je pourrais bien atteindre le reseau 100.0.0.0". 

Pour resoudre ce probleme, il faut que je renseigne ma table de routage et que j'indique comment atteindre le reseau 100.0.0.0. 
Sur le schema, e'est tres clair. Pour aller sur ce reseau, il faut passer par Rl. Comme SI ne peut joindre pour l'instant que les 
appareils dont l'adresse commence par 192.168.1.0, j'indiquerai comme moyen d’ atteindre le reseau, l'adresse 192.168.1.254 
qui est l'adresse IP de l'interface du routeur qui se situe sur le reseau de SI. Pour realiser cette configuration, tapons la 
commande : 

SI # route add -net 100.0.0.0 netmask 255.0.0.0 gw 192.168.1.254 

Felicitations ! Vous venez de saisir votre premiere commande de configuration de routage. Elle signifie que le reseau 
100.0.0.0/8 (masque reseau sur 8 bits) est situe derriere le routeur (gw = gateway) d'adresse 192.168.1.254.Vous pouvez le 
tester, cette configuration fonctionne pour le reseau 100.0.0.0 mais si l'on generalise, il faudrait saisir pour tous les reseaux que 
Ton cherche a contacter, une commande identique ! Observez bien le schema. Rl est le seul routeur directement accessible par 
SI. Quel que soit le reseau que SI cherche a contacter, il ne peut etre que derriere Rl. Par consequent, il existe une commande 
qui permet d'indiquer une route par defaut : 

SI # route add default gw 192.168.1.254 

Listons le content! de la table de routage : 

si # route Table de routage IP du noyau 


Destination 

Passerelle 

Genmask 

Indie 

Metric 

Ref 

Use 

Iface 

192.168.1.0 

* 

255.255.255.0 

U 

0 

0 

0 

ethO 
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127.0.0.0 

* 

255.0.0.0 

U 

0 

0 

0 

lo 

100.0.0.0 

192.168.1.254 

255.0.0.0 

u 

0 

0 

0 

ethO 

default 

192.168.1.254 

0 . 0 . 0.0 

UG 

0 

0 

0 

ethO 


La ligne commencant par 100.0.0.0 est devenue inutile. Supprimons la : 

SI # route del -net 100.0.0.0 netmask 255.0.0.0 gw 192.168.1.254 

La plupart du temps, il n'existe qu’un seul routeur pour sortir d’un reseau d’extremite. On configure alors sur chaque station 
l’adresse IP de ce routeur par defaut. Le logiciel IP cree une entree dans sa table de routage identique a celle que nous venons 
d’observer. Vous devrez done, sur chaque station de notre reseau definir l’adresse de son routeur par defaut, soit en tapant une 
commande route, soit en modifiant les fichiers de configuration des cartes reseau et en redemarrant. 

Revenons sur SI et testons notre configuration. Contactons a nouveau l’interface 100.0.0.1 du routeur R1 : 

SI # ping 100.0.0.1 PING 100.0.0.1 (100.0.0.1) from 192.168.1.1 : 

56(84) bytes of data. Warning: time of day goes back, taking countermeasures. 

64 bytes from 100.0.0.1: icmp_seq=0 ttl=255 time=3.746 msec 
64 bytes from 100.0.0.1: icmp_seq=l ttl=255 time=1.812 msec 

100.0.0.1 ping statistics 

2 packets transmitted, 2 packets received, 0% packet 

loss round-trip min/avg/max/mdev = 1.812/2.779/3.746/0.967 ms 

Parfait 5a marche ! Je devrais done pouvoir egalement contacter R2 puisqu’il est lui aussi dans le reseau 100.0.0.0 : 

SI # ping 100.0.0.2 PING 100.0.0.2 (100.0.0.2) from 192.168.1.1 : 

56(84) bytes of data, (il ne se passe rien, done CTRL-C) 

100.0.0.2 ping statistics 

10 packets transmitted, 

0 packets received, 100% packet loss 

Eh bien, ce n'est pas brillant. Certes, SI n’indique plus de message d’erreur mais les paquets transmis ne sont jamais retournes. 
Vous vous doutez qu’il existe une solution. Profitons-en, e’est l’occasion de vous donner quelques elements pour reperer un 
probleme de routage. 


61.1.2.3. Configuration des routeurs 

Puisque le routage est une chaine, il faut suivre les paquets dans chaque maillon afin de trouver l’origine du probleme. Nous 
savons que l’interface ethl du routeur R1 rccoit les paquets puisqu’elle nous les retourne. Done, le probleme vient de R2. 
Positionnons-nous dans le shell de R2, la commande tepdump va nous aider a observer ce qu’il se passe sur son interface ethl : 

R2 # tepdump -nt -i ethl tepdump: listening on ethl 192.168.1.1 > 

100.0.0.2: iemp: echo request (DF) 192.168.1.1 > 

100.0.0.2: iemp: echo request (DF) 

Oui, elle recoit les paquets... mais elle n’en retourne aucun. Vous l’avez compris : comme pour SI tout a l’heure, R2 n’a aucune 
idee de l’endroit ou se trouve le reseau de l’emetteur des paquets (192.168.1.0) puisque celui-ci n’est pas directement connecte. 
Il faut done configurer sa table de routage. Pour ce faire, nous allons cette fois travailler avec Zebra. Zebra possede une 
interface telnet sur le port 2601. Dans le shell de R2, tapez : 

R2 # telnet localhost 2601 Trying 127.0.0.1... 

Connected to localhost. 

Escape character is ,A ] ' . Hello, this is zebra (version 0.91a) . 

Copyright 1996-2001 Kunihiro Ishiguro. User Access Verification Password: 

Tapez le mot de passe que vous avez saisi dans le fichier zebra.conf , vous arrivez dans le mode de visualisation de la 
configuration du routeur. Ensuite, passez en mode de configuration (mode privilegie appele mode enable dans le logiciel) : 

R2 (Zebra) > enable 

Pour vous reperer dans Zebra, observez bien le prompt, il vous indique dans quel mode vous vous trouvez (par exemple, le # 
indique que vous etes en mode privilegie). Ensuite, dans l'interpreteur de commande, vous pouvez saisir a tout moment un ? 
pour obtenir la liste contextuelle des commandes. Enfin, lorsque vous appuyez sur la touche tabulation. Zebra complete la 
commande en cours de saisie. 

Observons la table de routage geree par Zebra : 


R2 (Zebra)# show ip route 

Codes: K - kernel route, C - connected, S - static, 

R - RIP, 0 - OSPF, B - BGP, > - selected route, 
* - FIB route 

C>* 100.0.0.0/8 is directly connected, ethl 
C>* 101.0.0.0/8 is directly connected, eth2 
C>* 127.0.0.0/8 is directly connected, lo 
C>* 192.168.2.0/24 is directly connected, ethO 
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Nous ne voyons aucune trace du reseau 192.168.1.0. C'est pour cela que R2 ne peut retourner les paquets ICMP a SI. Bien sur. 
Zebra permet d'ajouter une route. Passons en mode « terminal de configuration » : 

R2 (Zebra)# configure terminal 

Puis ajoutons la route : 


R2(Zebra) (config) # ip route 192.168.1.0/24 100.0.0.1 

Revenons au mode enable et listons a nouveau la table : 

R2 (Zebra) (config)# end 
R2 (Zebra)# show ip route 

Codes: K - kernel route, C - connected, S - static, 

R - RIP, 0 - OSPF, B - BGP, > - selected route, 

* - FIB route 

C>* 100.0.0.0/8 is directly connected, ethl 
C>* 101.0.0.0/8 is directly connected, eth2 
C>* 127.0.0.0/8 is directly connected, lo 
S>* 192.168.1.0/24 [1/0] via 100.0.0.1, ethl 
C>* 192.168.2.0/24 is directly connected, ethO 

Une route statique (notee S) est apparue (vous apprendrez dans le prochain article comment configurer une route dynamique 
ainsi que la signification des nombres entre crochets [1/0]). 

Un ping 100.0.0.2 depuis SI passe desormais sans probleme. Si Ton reprend le schema du reseau, vous vous doutez que des 
manipulations similaires sont a realiser pour le reseau de S3. II faut done ajouter une route vers 192.168.3.0/24. Vous 
connaissez maintenant les commandes : 

R2 (Zebra)# configure terminal 

R2(Zebra) (config)# ip route 192.168.3.0/24 101.0.0.2 
R2 (Zebra) (config)# end 

Visionnons la configuration en memoire de Zebra : 

R2 (Zebra)# show running-conf ig 
Current configuration: 

I 

hostname R2 (Zebra) 
password foo 

i 

interface lo 

i 

interface ethO 

i 

interface ethl 

i 

interface eth2 

i 

ip route 192.168.1.0/24 100.0.0.1 
ip route 192.168.3.0/24 101.0.0.2 

j 

line vty 

i 

end 

Afin qu'a chaque demarrage de Zebra les routes statiques soient prises en compte, il faut enregistrer cette configuration « 
memoire » vers le fichier zebra.conf : 

R2 (Zebra)# copy running-conf ig startup-conf ig 
Configuration saved to /etc/zebra/zebra . conf 

Bien, nous avons presque fini. Quelques routes sont a creer sur R1 et R3 pour que le routage sur notre reseau soit complet. 


61.1.2.3.1. Une erreur a eviter 

Sur Rl, il faut creer une route vers 192.168.3.0. Une erreur frequente consiste a creer la route suivante : 

R1 (Zebra) (config)# ip route 192.168.3.0/24 101.0.0.2 

Ce qui signifie : le reseau 192.168.3.0/24 est situe derriere le routeur R3. Bien sur, cette phrase est juste, mais souvenez-vous 
de ce que nous disions en introduction : le routage fonctionne de proche en proche. Ainsi, comme nous sommes sur Rl, il suffit 
d'indiquer que le routeur nous permettant d'atteindre le reseau de S3 est R2 et non R3. 


61.1.2.3.2. Configuration de Rl 

Ceci etant dit, void la configuration de Rl : 

Rl (Zebra)# show running-conf ig 
Current configuration: 


61 .1 .2. Place a la pratique 
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hostname 

R1 (Zebra) password foo 

i 

interface lo 

i 

interface ethO 

I 

interface ethl 

i 

ip route 101.0.0.0/8 100.0.0.2 
ip route 192.168.2.0/24 100.0.0.2 
ip route 192.168.3.0/24 100.0.0.2 

j 

line vty 

i 

end 

61.1.2.3.3. Configuration de R3 

Avant de lire ci-dessous, essayez de determiner la configuration de R3. Elle est tres proche de celle de Rl. 

R3 (Zebra)# show running-conf ig 
Current configuration: 

i 

hostname 

R3 (Zebra) password foo 

i 

interface lo 

i 

interface ethO 

i 

interface ethl 

i 

ip route 100.0.0.0/8 101.0.0.1 
ip route 192.168.1.0/24 101.0.0.1 
ip route 192.168.2.0/24 101.0.0.1 

j 

line vty 

i 

end 

Ouf ! Voila, c'est fini. Vous devez pouvoir realiser des ping de n’importe quelle machine vers n’importe quelle autre. 

61.1.3. Conclusion 

La configuration des routeurs peut vous sembler fastidieuse, voire impossible si le reseau comporte beaucoup de routeurs et 
que sa topologie evolue frequemment. II faudrait sans cesse reconfigurer les routeurs. Heureusement, le monde est bien fait : il 
existe des protocoles qui permettent aux routeurs de s’echanger les informations de routage dont ils disposent afin que les tables 
s'adaptent aux evolutions du reseau comme le protocole RIP par exemple. 

Chapitre 62. Le routage dynamique avec RIP 


Initiation au routage RIP 

62.1. Introduction 

Le premier article sur le routage statique a presente les concepts necessaires a la bonne comprehension du routage IP. Nous 
avons vu que les routeurs sont de veritables postes d'aiguillage qui acheminent de proche en proche les paquets IP dans 
l'inter-reseau. On peut configurer manuellement des routes statiques sur chaque routeur. Mais dans un reseau important, cette 
tache devient rapidement cauchemardesque ! Heureusement, des protocoles de routage ont ete developpes afin que les routeurs 
s'echangent les informations dont ils disposent. On parle dans ce cas de routage dynamique. L'objet de cet article est de vous 
presenter le fonctionnement et la mise en oeuvre d’un protocole de routage des plus elementaires : RIP (Routing Information 
Protocol). 

Avant d’aborder la partie pratique avec Zebra, nous evoquerons les avantages du routage dynamique en comparaison du 
routage statique. Nous detaillerons ensuite le fonctionnement du protocole RIP. 

62.1.1. Pourquoi le routage dynamique ? 

Comme nous l’avons defini dans le precedent article, le routage statique consiste a indiquer l’adresse IP des reseaux que Ton 
cherche a atteindre. On associe a chaque adresse, le nom de l’interface du routeur ou l’adresse IP du routeur voisin se situant sur 
la route vers ces reseaux de destination. Si le reseau global est complexe, la configuration peut etre fastidieuse et source 
d’erreurs. De plus, lorsque un nouveau reseau est ajoute, il faut reconfigurer l’ensemble. Enfin, pour prevenir tout 
dysfonctionnement (panne d’un routeur, ligne coupee, etc.), il faut effectuer une surveillance permanente et reconfigurer 
chaque routeur le cas echeant. Si la route est retablie, il faut recommencer la manipulation. 


224 


Chapitre 62. Le routage dynamique avec RIP 








Tutoriel sur les serveurs 


L'idee generate du routage dynamique est la suivante : plutot que de centraliser la configuration du routage dans les mains d'un 
individu dont le temps de reaction est fatalement long et les risques d'erreurs importants, nous allons delocaliser cette tache au 
niveau des routeurs. En effet, chaque appareil n'est-il pas le mieux place pour connaitre les adresses des reseaux auxquels il est 
directement relie puisque chacune de ses interfaces possede une adresse IP ? De plus, etant directement au contact des supports 
de communication, il peut etablir un diagnostic sur l’etat des liaisons. Fort de ces informations, il n’a plus qu’a les partager avec 
ses voisins. De proche en proche, les nouvelles se repandront a chaque routeur du reseau. L’intervention humaine se situera en 
amont dans la definition de directives et de regies a appliquer par les routeurs pour la diffusion des routes. 


62.1.2. Le protocole RIP 

Comme toujours, pour qu’une communication puisse s’etablir, chaque interlocuteur doit parler la meme langue. Il a done ete 
necessaire de concevoir un protocole. RIP a ete defini, pour sa version 1 dans la RFC 1058 et pour sa version 2 dans la RFC 
2453. Par la suite, je ne traiterai que RIPv2. Toutefois, avant de passer a la partie pratique, nous evoquerons rapidement les 
differences entre ces deux versions. 


62.1.2.1. Quelles informations de routage s'echanger ? 

Fe principe general est tres simple. Un routeur RIP transmet a ses voisins les adresses reseau qu'il connart (soit les adresses de 
ses interfaces, soit les adresses decouvertes via les autres routeurs) ainsi que la distance pour les atteindre. Ces couples 
adresse/distance sont appeles vecteurs de distance. 


62.1.2.2. La notion de distance 

Nous touchons ici au concept de metrique , fondamental dans le domaine du routage. En effet, il arrive frequemment (c'est 
meme une situation recherchee pour des raisons de tolerance aux pannes) que le reseau ait une topologie maillee. Dans ce cas, 
plusieurs routes menent a la meme destination. Le routeur doit alors choisir la route qu’il considere la meilleure vers une 
destination donnee. 

La seule metrique utilisee par RIP est la distance correspondant au nombre de routeurs a traverser (hop ou nombre de sauts) 
avant d'atteindre un reseau. Pour chaque route, RIP calcule la distance. Ensuite, si des routes redondantes apparaissent, RIP 
retient celle qui traverse le moins de routeur (done avec la distance la plus faible). 

Du fait de la methode utilisee pour diffuser les routes, la longueur d’une route (et par voie de consequence le diametre du 
reseau) est limitee. La norme limite la distance maximale d’une route a quinze. Cela signifie que deux reseaux ne peuvent etre 
eloignes de plus de quinze routeurs. Nous verrons ci-apres qu’une distance egale a seize (distance "infrnie" pour RIP) joue un 
role particulier en indiquant qu’une route est devenue inaccessible. 


62.1.2.3. Un exemple 

Prenons l'exemple simple du reseau sur lequel nous avons travaille dans l’article precedent : 


Figure 62-1. Topologie du reseau 


Afin de bien comprendre le routage dynamique, supposons la situation initiate suivante : sur chaque routeur, toutes les 
interfaces reseau sont actives, aucune route statique n’est definie et le routage RIP est inactif. 

Sur Rl, lorsque Ton active le processus de routage RIP, une premiere table est constituee a partir des adresses IP des interfaces 
du routeur. Pour ces reseaux directement connectes au routeur, la distance est egale a un puisqu’il faut au moins traverser ce 
routeur pour les atteindre. On obtient : 


Adresse/Prefixe 

Moven de l'atteindre 

Distance 

100.0.0.0/8 

ethl 

1 

192.168.1.0/24 

ethO 

1 


Tableau 1 : table initiate constituee par Rl 

Rl transmet a ses voisins immediats (ici, il n’y a que R2) un seul vecteur de distance { 192.168.1.0/24, 1 } qui signifie : "je suis 
le routeur d’adresse IP 100.0.0.1 et je connais un moyen d'atteindre le reseau 192.168.1.0/24 en un saut". Aucune information 
sur le reseau commun aux deux routeurs (100.0.0.0/8) n'est transmise car Rl considere que R2 connait deja ce reseau. 

Ensuite, lorsque Ton active RIP sur R2, il constitue la table ci-apres a partir de ses propres informations et de celles recues de 
Rl : 


Adresse/Prefixe 

Moven de l'atteindre 

Distance 

100.0.0.0/8 

ethl 

1 

101.0.0.0/8 

eth2 

1 

192.168.1.0/24 

100.0.0.1 

2 


62.1 .2. Le protocole RIP 
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192.168.2.0/24 


ethO 


1 


Tableau 2 : table constitute par R2 

Sur R2, RIP a calcule que la distance pour atteindre 192.168.1.0/24 est egale a deux puisqu'il faut traverser R2 puis Rl. R2 a 
deduit le "moyen de l’atteindre" a partir de l’adresse IP de l’emetteur contenue dans le paquet RIP. 

Lorsque RIP sera demarre sur R3, la route vers 192.168.3.0/24 avec une distance de deux sera ajoutee dans la table ci-dessus. 

Dans ce petit exemple, aucune restriction n’a ete definie sur la diffusion des routes. Done, a Tissue d’un certain delai appele 
temps de convergence, variable selon la taille du reseau, chaque routeur connait un moyen d’atteindre chaque reseau. 


62.1.2.4. Algorithme general de RIP 

Examinons un peu plus en detail le fonctionnement de RIP. Lors de Tinitialisation du routeur, celui-ci determine Tadresse 
reseau de ses interfaces puis envoie sur chacune une demande d’informations (table RIP complete) aux routeurs voisins. Lors 
de la reception d’une demande, un routeur envoie sa table complete ou partielle suivant la nature de cette demande. Lors de la 
reception d’une reponse, il met a jour sa table si besoin. Deux cas peuvent se presenter : 

• pour une nouvelle route, il incremente la distance, verifie que celle-ci est strictement inferieure a 15 et diffuse 
immediatement le vecteur de distance correspondant ; 

• pour une route existante mais avec une distance plus faible, la table est mise a jour. La nouvelle distance et, 
eventuellement, Tadresse du routeur si elle differe sont integrees a la table. 

Bien sur, si Tappareil recoit une route dont la distance est superieure a celle deja connue, RIP Tignore. Ensuite, a intervalles 
reguliers (les cycles durent 30 secondes environ), la table RIP est diffusee qu’il y ait ou non des modifications. 

Des routes doivent etre retirees de la table geree par RIP dans deux situations. 

En premier lieu, un reseau immediatement connecte devient inaccessible (panne de Tinterface, de la ligne, modification de la 
topologie par Tadministrateur, etc.). Les routeurs RIP relies a ce reseau affectent dans leur table une distance "infinie" (16 
comme indique plus haut) a cette route. Elle est conservee pendant la duree d’un temporisateur de "maintien" (ou garbage 
collect) de 120 secondes puis est supprimee. Immediatement puis pendant toute la duree de ce delai, le vecteur est diffuse. Un 
routeur qui re£oit un vecteur avec une distance de 16 comprend : "il faut que tu retires cette route de ta table car elle est 
de venue invalide !". De proche en proche, cette information se propage. 

En second lieu, un routeur du reseau tombe en panne. Cela veut peut-etre dire que les reseaux situes derriere cet appareil sont 
devenus inaccessibles. Mais comment savoir si un routeur est en panne ? RIP considere qu'un routeur qui n'a pas donne de 
nouvelles depuis trois minutes est hors-service. Pour gerer cette situation, il attribue a toutes les routes dynamiques un 
temporisateur initialise a 180 secondes (par defaut). A chaque reception d'un vecteur de distance deja present dans la table, le 
compteur est reinitialise. Mais si jamais ce compteur atteint zero, la route est consideree comme invalide. On se retrouve alors 
dans la situation precedente (distance infinie, temporisateur de maintien, diffusion de l'information puis suppression de la 
route). Maintenant, si un autre routeur connait une route menant vers un des reseaux que Ton vient de retirer, e'est parfait ! 
Notre routeur integrera cette nouvelle route dans sa table : RIP permet la tolerance aux pannes. 

Comment justifier Texistence de ces mecanismes qui peuvent paraitre un peu complexes ? Cela est du a une faiblesse des 
algorithmes a vecteurs de distance que Ton appelle "probleme de la convergence lente". Dans certains cas, apres la panne d’un 
acces reseau, deux routeurs voisins risquent de se transmettre mutuellement puis, ensuite, de propager des informations 
contradictoires au sujet de ce reseau et creer ainsi une boucle de routage infinie. Zebra met en oeuvre les mecanismes nommes 
"split horizon" (une information de routage re£ue d’une interface if est jamais retransmise sur celle-ci), "poison reverse" 
(temporisateur de maintien) et "triggered update" (une panne est immediatement diffusee sans attendre le prochain cycle de 
diffusion des tables) afin d’empecher ce phenomene et de reduire le delai de convergence. 


62.1.2.5. Ameliorations de RIPv2 par rapport a RIPvl 

Meme si les principes evoques ci-dessus sont valables quelle que soit la version de RIP, les differences restent interessantes a 
relever. Les ameliorations de RIPv2 sont : 

• diffusion des masques de sous-reseaux associes aux adresses reseaux (RIPvl n’utilisait que les masques reseau par 
defaut) ; 

• utilisation d’adresses multicast pour diffuser les vecteurs de distance au lieu d’adresses de broadcast, ce qui reduit 
Tencombrement sur le reseau ; 

• support de l'authentification en transportant un mot de passe crypte avec MD5 ; 

• interoperabilite entre protocoles de routage en diffusant des routes apprises a partir d’autres protocoles. 

L’ensemble de ces raisons rendent RIPvl obsolete bien qu'il soit supporte par la plupart des routeurs logiciels ou materiels. 


62.1.3. Place a la pratique 

Afin de mieux apprecier les facilites offertes par le routage dynamique, je vous propose de travailler sur une topologie 
legerement modifiee afin d’introduire un lien redondant. Void le plan : 
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Figure 62-2. Topologie de travail 


Que vous ayez suivi ou non la premiere partie de cet article, vous devez partir sur chaque appareil avec un fichier de 
configuration du routeur Zebra (/usr/local/etc/zebra.conf) vierge a l'exception de ces deux lignes : 


hostname Rx (Zebra) ! remplacez le x par le numero du routeur 
password foo 

Vous devez egalement creer un fichier de configuration pour le routeur RIP (/usr/local/etc/ripd.conf) ayant une apparence tres 
proche de celui de Zebra : 


hostname Rx(RIP) ! remplacez le x par le numero du routeur 
password foo 

Lorsque ces manipulations sont faites, lancez les deux demons de routage sur les trois routeurs en respectant l'ordre des 
commandes, par exemple sur R1 : 

R1 # zebra -d 
R1 # ripd -d 

Zebra necessite que les deux demons soient presents car son architecture est la suivante : 


Figure 62-3. Architecture de Zebra 


Le demon zebra est un intermediaire entre le noyau de Linux et les demons de routage dynamique. II peut recuperer les routes 
statiques definies directement sous Linux afin de les diffuser via le routage dynamique. 

zebra lui-meme permet de definir des routes statiques. Enfin, il peut recuperer des routes dynamiques pour les integrer a la 
table de routage geree par le noyau Linux. Routages statique et dynamique peuvent cohabiter sans probleme avec Zebra mais 
les concepteurs du logiciel conseillent fortement de ne definir les routes statiques que dans zebra (evitez de les definir dans le 
shell Linux ou dans les demons de routage dynamique). 


62.1.3.1. Activation de RIP sur le premier routeur 

Afin d'observer la diffusion des routes qu'opere RIP, je vous propose de saisir la commande suivante dans le shell d'un routeur 
immediatement voisin de Rl, R2 par exemple : 


R2 # tcpdump -i ethl -nt -s 0 src host 

100 . 0 . 0 . ltcpdump : listening on ethl 

Ensuite, connectons-nous au routeur RIP sur Rl avec un telnet sur le port 2602. Dans le shell de Rl : 


Rl # telnet localhost 2602 
Trying 127 .0.0.1... 

Connected to localhost. 

Escape character is ,A ]'. 

Hello, this is zebra (version 0.91a) . 

Copyright 1996-2001 Kunihiro Ishiguro. 

User Access Verification 
Password : 

Rl (RIP ) > 

Cette operation etant realisee, comme pour zebra il faut activer le mode privilegie, passer dans le terminal de configuration et 
enfin, entrer dans la configuration du routeur RIP : 


R1(RIP)> enable 
Rl (RIP) #conf t 
Rl (RIP) (config) # routerrip 
Rl (RIP) (conf ig-router) # 


La premiere tache consiste a determiner les types de routes en notre "possession" que nous souhaitons voir diffuser a nos 
voisins. Cette configuration se fait par la commande redistribute. Voici les differents parametres de cette commande : 


Rl(RIP) (config-router) # redistribute ? 
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bgp Border Gateway Protocol (BGP) 
connected Connected 
kernel Kernel routes 

ospf Open Shortest Path First (OSPF) 
static Static routes 

On constate que Ton peut diffuser des routes propres a la machine comme les routes statiques et les adresses des reseaux 
directement connectes. Mais nous pouvons egalement utiliser RIP pour diffuser des routes dynamiques apprises via RIP ou 
d'autres protocoles de routage comme OSPF ou BGP. Dans tous les cas, les routes diffusees aux voisins seront vues par eux 
comme des routes etiquetees "decouvertesgrace a RIP". 

Nous choisissons de diffuser les adresses des reseaux directement connectes : 

R1 (RIP) (config-router) # redistribute connected 

Pour l'instant, rien ne se produit. II faut indiquer a RIP sur quels reseaux nous souhaitons voir la diffusion des routes s'operer. 
Nous retrouvons ici une commande commune avec le routage statique. Avant de la valider, pensez a observer le resultat du 
tcpdump sur l'ecran de R2 : 


Rl(RIP) (config-router)# network 100.0.0.0/8 

A ce stade, R1 diffuse sur le reseau 100.0.0.0/8 la table RIP a intervalles de 30 secondes. Le resultat sur R2 doit ressembler a 
ceci : 


R2 # tcpdump -i ethl -nt -s 0 src host 100.0.0.1 
tcpdump: listening on ethl 

100 . 0 . 0 . 1 . router > 224 . 0 . 0 . 9 . router : RIPv2-req 24 (DF) [ttl 1] 

100.0. 0.1. > 224.0.0.9: igmp v2 report 224.0.0.9 (DF) [ttl 1] 

100 . 0 . 0 . 1 . router > 224 . 0 . 0 . 9 . router : RIPv2-resp [items 2]: 

{102.0.0.0/255.0.0.0} (1) 

{192.168.1.0/255.255.255.0} (1) (DF) [ttl 1] 

Les messages adresses par R1 se font via une adresse multicast convenue pour les routeurs RIP : 224.0.0.9. Les dernieres 
lignes montrent clairement que RIP diffuse deux vecteurs de distance : un concernant le reseau 102.0.0.0/8 et un autre 
concernant le reseau 192.168.1.0/24. Observons sur R1 la table avec laquelle RIP travaille : 

R1 (RIP) (config-router)# end 
Rl(RIP)# show ip rip 

Codes: R - RIP, C - connected, 0 - OSPF, B - BGP 



Network 

Next 

Hop 

Metric 

From 

Time 

c_ 

100.0.0.0/8 


i 



c_ 

102.0.0.0/8 


i 



c 

192 .168 . 1 .0/24 


i 




R1 (RIP) # 

RIP a ete active sur le reseau 100.0.0.0/8, done aucune information le concernant n'est diffusee sur ce meme reseau pour des 
raisons evidentes d'optimisation mais aussi, pour la gestion du probleme de la convergence lente. 


62.1.3.2. Activation de RIP sur le deuxieme routeur 

Bien, nous avons fait la moitie du travail. Un routeur diffuse grace a RIP les informations de routage qu'il possede. Mais pour 
l'instant, e'est inefficace car personne n’est la pour les ecouter et les exploiter. II faut done faire les memes manipulations sur 
R2 puis a terme sur R3. Passons dans le shell de R2 : 


R2 # telnet localhost 2602 

R2(RIP)> enable 
R2 (RIP ) # conf t 
R2 (RIP) (config) # router rip 

R2 (RIP) (config-router)# redistribute connected 
R2 (RIP) (config-router)# network 100.0.0.0/8 
R2 (RIP) (config-router)# end 
R2(RIP)# show ip rip 

Codes: R - RIP, C - connected, 0 - OSPF, B - BGP 



Network 

Next 

Hop 

Metric 

From 

Time 

c_ 

100.0.0.0/8 


i 



c_ 

101.0.0.0/8 


i 



R_ 

102.0.0.0/8 

100.0.0.1 

2 

100.0.0.1 

02:52 

R_ 

192 .168 . 1 .0/24 

100.0.0.1 

2 

100.0.0.1 

02:52 

C 

192.168.2.0/24 


1 
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R2 (RIP) # 

La table ci-dessus a ete constituee par le processus RIP tournant sur R2. Le routeur d'adresse 100.0.0.1 (Rl) l'a informe de la 
presence de deux routes vers deux reseaux, ce qui est conforme aux informations affichees par tcpdump tout a l'heure. La 
distance (Metric) est egale a deux puisque ces reseaux sont directement connectes a Rl. Un compteur est active pour chaque 
route dynamique notee R (pour RIP). C'est un compte a rebours qui periodiquement repart de 03:00 a chaque diffusion re£ue de 
Rl. 

Vous pouvez faire un show ip rip sur Rl afin de constater qu'il a opere un travail similaire. 


62.1.3.3. Filtrer la diffusion des routes 

Lorsque Ton saisit un "redistribute connected" dans RIP, le routeur diffuse toutes les routes de type "directement connectees", 
sans distinction. Difficile de garder une certaine "intimite" dans ces conditions ! Zebra, qui est bien con£u, propose des 
mecanismes pour filtrer la diffusion des routes grace aux "listes de distribution". 

Supposons qu'un nouveau reseau soit connecte a R2. Pour les besoins de l'exemple, vous pouvez creer une interface fictive 
simulant ce reseau. Dans le shell Linux, creons cette interface : 

R2 # ifconfig dummyO 111.0.0.1/8 up 

Zebra detecte cette nouvelle interface et transmet l'information a RIP. Comme a ce stade, RIP doit diffuser toutes les routes 
connectees. II informe immediatement ses voisins. Verifions ceci sur Rl : 

Rl(RIP)# show ip rip 

Codes: R - RIP, C - connected, 0 - OSPF, B - BGP 



Network 

Next 

Hop 

Metric 

From 

Time 

c_ 

100.0.0.0/8 


i 



R_ 

101.0.0.0/8 

100.0.0.2 

2 

100.0.0.2 

02:43 

C_ 

102.0.0.0/8 


1 



IL 

111.0.0.0/8 

100.0.0.2 

2 

100.0.0.2 

02:43 

c_ 

192 .168 . 1 .0/24 


1 



R 

192.168.2.0/24 

100.0.0.2 

2 

100.0.0.2 

02:43 


Rl (RIP) # 

On constate que Rl a appris l'existence de 1 1 1.0. 0.0/8. Nous allons interdire a R2 de diffuser l'existence de ce reseau a ses 
petits camarades. Pour ce faire, il faut creer une regie indiquant que l'adresse 1 1 1.0. 0.0/8 est bloquee grace a une liste d'acces. 
Ensuite, il faut affecter cette regie a une liste de distribution qui indiquera sur quelle interface l'appliquer. Retournons sur R2, 
dans le terminal de configuration de RIP : 


R2(RIP)> enableR2 (RIP ) # conf t 

Definition de la regie : 

R2(RIP) (config)# access-list 1 deny 111.0.0.0/8 
R2 (RIP) (config)# access-list 1 permit any 

Le "1" apres "access-list" identifie la liste d'acces. Ce numero sera utilise pour l'associer a la liste de distribution. N'oubliez pas 
la deuxieme ligne. Il faut dire explicitement a RIP que toutes les autres adresses ne sont pas bloquees. 

Maintenant, affectons la liste d'acces a une liste de distribution. Il faut indiquer sur quelles interfaces ces regies sont a appliquer 


R2(RIP) (config)# router 
R2(RIP) (config-router) # 
R2(RIP) (config-router)# 


rip 

di st ribut e-list 
distribute -list 


1 out ethl 
1 out eth2 


A partir de cet instant, plus aucune information n'est diffusee par R2 concernant 1 1 1.0. 0.0/8. Sur Rl, avec un 


show ip rip 
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, vous constaterez que le temporisateur de la route tombe a 0. Elle se voit ensuite attribuer une metrique infinie pendant le delai 
du temporisateur "garbage collect" puis elle disparait. 

Dans notre exemple, le resultat de cette manipulation est que les reseaux directement connectes au routeur R2, en particulier 
192.168.2.0/24 qui contient des ordinateurs, peuvent communiquer avec 11 1.0.0. 0/8. En revanche, l'exterieur n'a pas 
connaissance du reseau 111 .0.0. 0/8 qui ne peut pas communiquer avec les reseaux situes derriere les autres routeurs. 

Cet article n'a pas la pretention de presenter toutes possibilites offertes par les listes d'acces et les listes de distribution qui sont, 
en fait, tres nombreuses. La documentation du logiciel indique l'ensemble des parametres de ces differentes commandes. 


62.1.3.4. Parametrage de RIP 

Toute la configuration de RIP peut etre affichee sous une forme synthetique. Par exemple, sur le routeur Rl, en mode privilegie 

(#) : 


Rl(RIP)# show ip protocols Routing Protocol is "rip" 

Sending updates every 30 seconds with +/-50%, next due in 35 Timeout 
after 180 seconds, garbage collect after 120 seconds Outgoing update 
filter list for all interface is not set Incoming update filter list for 
all interface is not set Default redistribution metric is 1 
Redistributing: connected Default version control: send version 2 , 
receive version 2 


Interface 

Send 

Recv 

Kev-chain 

ethl 

2 

2 



Routing for Networks: 100.0.0.0/8 Routing Information 
Sources : 


Gateway 

BadPackets 

BadRoutes 

Distance 

Last 

Update 

100.0.0.2 

0 

0 

120 

00:00:34 


Distance: (default is 120) 

Examinons brievement les principaux champs. Les differents temporisateurs sont fixes aux valeurs par defaut. Aucun filtrage 
des routes en entree comme en sortie n'est defini. La metrique par defaut de ce routeur est egale a un (c'est cette valeur qui sera 
ajoutee aux distances des routes apprises dynamiquement). Zebra supporte les deux versions de RIP que Ton peut faire 
cohabiter mais par defaut. Zebra n'autorise en reception comme en emission que la version 2. Le routage n'est active pour 
l'instant que sur l'interface Ethernet 1. Aucun mot de passe n'est defini (nous aborderons cette notion un peu plus loin). La 
derniere ligne concerne la distance administrative. Comme cette notion est importante, nous la developpons ci-dessous. 


62.1.3.5. La distance administrative 

La derniere ligne du listing precedent evoque une "distance" dont la valeur par defaut est 120. II s'agit de la distance 
administrative. Elle n’a aucun rapport avec la distance (metrique) en nombre de sauts calculee par RIP. 

Zebra peut constituer une table de routage a partir de routes apprises de differentes manieres (reseau directement connecte, 
route statique, RIP, OSPL, BGP). Si Zebra se trouve avec plusieurs routes menant vers un meme reseau mais rappoitee par des 
moyens differents, il doit en choisir une. II a ete decide d’attribuer a chaque moyen d’apprendre une route un score. La route 
decouverte par un moyen dont le score est le plus faible sera elue. Les distances administratives standards sont les suivantes : 


Moven de decouvrir une route 

Distance administrative 

Connected 

0 

Static 

1 

BGP 

20 

OSPL 

110 

RIP 

120 


Tableau 3 : distances administratives par defaut 

Ainsi, une route configuree de fagon statique (done par un administrateur) est jugee plus credible qu’une meme route rappoitee 
par RIP (notez au passage que RIP est considere comme le moins credible...). On retrouve cette notion de distance 
administrative dans la table de routage de Zebra. Sur Rl, connectez-vous avec telnet au terminal de configuration de Zebra 
(dans le shell, faites un 

telnet localhost 2601 

, puis saisissez le mot de passe) : 
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R1 (Zebra) > show ip route 

Codes: K - kernel route, C - connected, 

S - static, R - RIP, 0 - OSPF, B - BGP , 

> - selected route, * - FIB route 
C>* 100.0.0.0/8 is directly connected, ethl 
R>* 101.0.0.0/8 [120/2] via 100.0.0.2, ethl, 00:08:11 
C>* 102.0.0.0/8 is directly connected, eth2 
C>* 127.0.0.0/8 is directly connected, lo 
C>* 192.168.1.0/24 is directly connected, ethO 
R>* 192.168.2.0/24 [120/2] via 100.0.0.2, ethl, 00:08:11 
R1 (Zebra) > 


Les deux routes dynamiques notees R comportent deux nombres entre crochets ([120/2]). Le premier correspond a la distance 
administrative et le deuxieme a la distance en nombre de sauts. 


Remarque importante 

J'en profite pour bien preciser que la table ci-dessus est la table de routage, done utilisee par l'appareil pour router les paquets 
IP recus sur ses interfaces reseau. La table que vous consultez dans RIP en faisant un 


show ip rip 


n'est pas la table de routage, e'est la table qui sera diffusee aux routeur voisins. La signification de ces deux tables est done 
radicalement differente. 


62.1.3.6. Avant de continuer 

Je vous invite maintenant a activer RIP sur vos trois routeurs en redistribuant les adresses des reseaux immediatement 
connectes sur tous les reseaux. Vous connaissez les manipulations a effectuer. A la fin du processus, chaque routeur doit 
connaitre les adresses des six reseaux ainsi que le moyen de les atteindre. Pour information, je vous donne le contenu du fichier 
de configuration de R3 (ripd.conf) : 

hostname R3(RIP) 
password foo 

i 

interface lo 

i 

interface ethO 

i 

interface ethl 

I 

interface eth2 

i 

router rip 

redistribute connected 
network 101.0.0.0/8 
network 102.0.0.0/8 

i 

line vty 

i 

end 

Vous pouvez egalement, si vous le souhaitez, modifier la valeur par defaut des temporisateurs utilises par RIP afin de visionner 
plus rapidement le resultat des manipulations que nous allons realiser par la suite. Ceci se fait de la fa£on suivante, par exemple 
dans R1 : 


R1 (RIP) # conf t 

R1 (RIP) (config) # router rip 

R1 (RIP) (conf ig-router) # timers basic 10 30 20 

Notez bien qu'en exploitation, je vous conseille vivement de conserver ces compteurs a leur valeur par defaut. Avec les durees 
que nous avons indique ici, une partie importante de votre bande passante va etre consommee par les diffusions de RIP. 


62.1 .3.7. La tolerance aux pannes 

Supposons que la liaison entre R1 et R2 va tomber en panne. Visionnons la table RIP de R1 avant ce triste evenement : 


R1(RIP)> show ip rip 

Codes: R - RIP, C - connected, 0 - OSPF, B - BGP 



Network 

Next Hop 


From 

Time 




Metric 
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c_ 

100 . 0 . 0 . 0/8 


1 



R_ 

101 . 0 . 0 . 0/8 

100 . 0 . 0.2 

2 

100 . 0 . 0.2 

02:52 

C_ 

102 . 0 . 0 . 0/8 


1 



C_ 

192 . 168 . 1 . 0/24 


1 



R_ 

192 . 168 . 2 . 0/24 

100 . 0 . 0.2 

2 

100 . 0 . 0.2 

02:52 

R 

192 . 168 . 3 . 0/24 

102 . 0 . 0.2 

2 

102 . 0 . 0.2 

02:36 


Le reseau 100.0.0.0/8 tombe en panne. R1 ne re£oit done plus d'informations de routage a partir de R2. Si vous observez la 
table RIP sur Rl, vous verrez que toutes les routes issues de R2 finissent par disparaitre. Mais pendant ce temps, R3 continue a 
envoyer des mises a jour via le reseau 102.0.0.0/8. R3 connait un moyen d'atteindre les reseaux que Ton pouvait joindre 
auparavant par R2. Aussi, au bout d'un certain delai de convergence, Rl construit la table suivante : 


R1(RIP)> show ip rip 

Code: R - RIP, C - connected, 0 - OSPF, B - BGP 


1 

Network 

Next Hop 

Metric 

From 

Time 

R 

100.0.0.0/8 

102.0.0.2 

3 

102.0.0.2 

02:34 

R_ 

101.0.0.0/8 

102.0.0.2 

2 

102 .0.0.2 

02:34 

C_ 

102.0.0.0/8 


1 



c_ 

192 .168 . 1 .0/24 


1 



R_ 

192.168.2.0/24 

102.0.0.2 

3 

102.0.0.2 

02:34 

R 

192 .168 . 3 .0/24 

102.0.0.2 

2 

102.0.0.2 

02:34 


Tous les reseaux sont a nouveau accessibles a partir de Rl ! Cela demontre que RIP a su digerer une panne de liaison. 
Retablissons le lien entre Rl et R2. Progressivement, on retourne vers la premiere table car les metriques via R2 sont plus 
faibles. 


62.1.3.8. Un probleme de securite 

Le routage dynamique est pratique car avec tres peu de commandes de configuration on arrive a une solution qui fonctionne 
correctement et qui est meme capable de prendre en compte automatiquement des modifications de la topologie. Seulement 
voila : imaginez qu'un petit malin insere sur le reseau un routeur RIP et qu'il lui fasse diffuser des routes totalement farfelues. 
Cela peut creer un certain nombre de desagrements comme des denis de service par exemple. Pour limiter ce risque, RIPv2 
permet d'associer un mot de passe crypte a chaque diffusion de vecteurs de distance. Seuls les routeurs ayant connaissance de 
ce mot de passe traiteront les informations de routage. Mettons en place ce mecanisme entre Rl et R2 : 


Rl (RIP) # conf t 

Rl (RIP) (config) # key chain test 
Rl (RIP) (conf ig-keychain) # key 1 

Rl (RIP) (conf ig-keychain-key ) # key-string motdepasse 
Rl (RIP) (conf ig-keychain-key ) # exit 
Rl (RIP) (conf ig-keychain) # exit 
Rl (RIP) (config)# int ethl 
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R1 (RIP) (config-if ) # ip rip authentication mode md5 
R1 (RIP) (config-if)# ip rip authentication key-chain test 
R1 (RIP) (config-if)# 


Nous creons le porte-cle (keychain) nomme "test" avec le mot de passe "motdepasse". Ce mot de passe est associe a l'interface 
ethl, il sera transmis au format MD5 (sinon, il est transmis en clair !). Pour que cela fonctionne, vous devrez faire des 
manipulations identiques sur R2. 

Examinons sur le reseau avec une capture de paquets, le contenu des informations de routage regues de R2 : 


R1 # tcpdump -i ethl -nt -sO src host 100.0.0.2 
tcpdump: listening on ethl 

100 . 0 . 0 . 2 . router > 224 . 0 . 0 . 9 . router : RIPv2-resp [items 6]: 
[auth 3: 0068 0114 3cfb 0c6f 0000 0000 0000 0000] 

{101.0.0.0/255.0.0.0} (1) 

{102.0.0.0/255.0.0.0} (2) 

{192.168.2.0/255.255.255.0} (1) 

{192.168.3.0/255.255.255.0} (2) 

[auth 1: 4d7 1 f8e0 077c cc58 8247 6656 17c3 95f2] 

(DF) [ttl 1] 


Notez au passage que seul le mot de passe est crypte, les informations de routage continuent a circuler en clair. 


62.1.4. Conclusion 

RIP constitue un excellent moyen pedagogique pour aborder la problematique du routage dynamique. Mais il est peu utilise en 
exploitation car il souffre de certaines limitations et defauts qui le cantonnent a des reseaux de taille moyenne. Nous avons vu 
que le diametre maximum d'un reseau gere avec RIP est limite a 15 routeurs soit 16 segments de reseau. RIP est un gros 
consommateur de bande passante du fait de la methode utilisee pour diffuser les informations de routage (toutes les 30 
secondes, l'integralite de la table RIP est diffusee meme si elle n'a subi aucune modification). C'est facheux, en particulier sur 
des liaisons lentes ou facturees au volume de donnees transferees. La metrique utilisee ne garantit pas que le routage soit 
optimal. En effet, la distance masque les caracteristiques reelles de la voie de transmission (debit ou cout en particulier). Enfin, 
le temps de convergence, delai avant que tous les routeurs ne possedent des tables coherentes peut etre long dans certaines 
situations. Pour toutes ces raisons, on a cherche a developper un protocole de routage beaucoup plus efficace : OSPF, objet du 
prochain article. 


Chapitre 63. Le routage dynamique avec OSPF 


Initiation au routage OSPF 


63.1. Introduction 

Ce texte suit le la sequence sut le routage statique et le routage dynamique avec RIP. 


63.1.1. Rappels sur les elements vus 

Le routeur est un element essentiel dans l'aiguillage des paquets de donnees dans un inter-reseau. Pour chaque paquet regu, il 
extrait le prefixe reseau de l'adresse IP de destination du paquet et le recherche dans une table qu'il possede en memoire. Cette 
table de routage contient essentiellement une liste d’adresses reseau et, pour chacune, le moyen de l’atteindre, a savoir l’adresse 
d’un routeur immediatement voisin et situe sur la route vers la destination. Si le routeur trouve dans cette table le prefixe 
reseau, il transmet le paquet sur le reseau du routeur voisin concerne. Ce processus sera renouvele par le routeur voisin et ainsi 
de suite, de proche en proche le paquet sera oriente vers sa destination. 

Seulement voila, il faut saisir les tables de routage ! Travail fastidieux pour les petits doigts agiles de 1’administrateur lorsque 
les reseaux sont de grande taille. De plus, compte tenu de 1'evolution du nombre de reseaux a interconnecter dans le cas 
d’internet, il est de toute fagon devenu impossible de se cantonner au routage statique (voir sequence sur le routage statique). 
C’est pourquoi, le routage dynamique a ete imagine afin d’alleger la charge d’administration mais aussi pour realiser des 
reseaux tolerants aux pannes d’un routeur ou d’une liaison. RIP est un bon exemple de protocole de routage dynamique*. Les 
routeurs supportant RIP s'echangent des informations sur les routes qu’ils possedent (les fameux "vecteurs de distance"). Si une 
panne se produit, les routeurs immediatement voisins notent que certaines routes sont devenues inaccessibles et propagent 
l’information aux autres. Mais helas, RIP souffre de certaines limitations qui ont pousse 1’IETF (Internet Engineering Task 
Force) a plancher sur un protocole plus robuste, plus efficace, plus parametrable et supportant des reseaux de grande taille. 
Cette merveille s’appelle OSPF (Open Shortest Path First), protocole supporte par Zebra. 


63.1.2. Les grands principes 

OSPFest un protocole de routage dynamique defini par 1’IETF a la fin des annees 80. Il a fait l’objet d’un historique 
relativement complexe de RFC. Ce protocole a deux caracteristiques essentielles : - il est ouvert (le Open de OSPF), son 
fonctionnement peut etre connu de tous ; - il utilise l’algorithme SPF (Shortest Path First), plus connu sous le nom d’algorithme 
de Dijkstra, afin d’elire la meilleure route vers une destination donnee. 
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Examinons une topologie qui nous servira de support pour les explications : 


Figure 63-1. Exemple de topologie 


63.1.2.1. La notion de cout 

Supposons que du routeur R1 on cherche a atteindre le reseau 192.168.1.0. Dans une telle situation, RIP aurait elu la route 
passant par R5 puisque c'est la plus courte en termes de saut. Cependant, imaginez que les liens representes sous forme 
d’eclairs soient "rapides" (type Ethernet a 100 Mbps par exemple) et que les liens "droits" soient "lents" (type Ethernet a 10 
Mbps par exemple). Le choix de RIP n’est plus du tout pertinent ! 

OSPF fonctionne differemment. II attribue un cout a chaque liaison (denommee lien dans le jargon OSPF) afin de privilegier 
l’election de certaines routes. Plus le cout est faible, plus le lien est interessant. Par defaut, les couts suivants sont utilises en 
fonction de la bande passante du lien : 


Type de reseau 

Cout par 
defaut 

Ethernet > = 100 Mbns 

1 

FDDI 

1 

Ethernet 10 Mbns 

10 

El (2.048 Mbns) 

48 

T1 (1.544 Mbns) 

65 

64 Kbps 

1562 

56 Kbtis 

1785 

19.2 Kbtis 

5208 


La formule de calcul est simplissime : cout = reference / bande passante du lien. Par defaut, la reference est 100 000 000 
correspondant a un reseau a 100 Mbps. 

OSPF privilegie les routes qui ont un cout faible, done celles qui sont supposees rapides en terme de debit theorique. 


63.1.2.2. La base de donnees topologique 

Avec OSPF, tous les routeurs d’un meme reseau (on parle de "zone" dans le vocabulaire OSPF, ceci vous sera explique avant la 
mise en pratique) travaillent sur une base de donnees topologique identique qui decrit le reseau. Cette base a ete constituee 
pendant une premiere phase de decouverte qui vous sera expliquee un peu plus loin. Examinons la base de donnees suivante 
qui decrit la topologie de la figure 1 : 


Arc 

Cout 

R1.R2 

1 

R1.R5 

10 

R2, R3 

1 

R3. R4 

10 

R3. R5 

1 

R4. R5 

10 

R4. 192.168.1.0 

10 


63.1.2.3. L'election des meilleures routes 


L'algorithme du SPF de Dijsktra va traiter cette base de donnees afin de determiner les routes les moins couteuses. Une fois le 
traitement realise, chaque routeur se voit comme la racine d'un arbre contenant les meilleures routes. Par exemple : 


Figure 63-3. Le reseau vu de R5 


Figure 63-2. Le reseau vu de R1 


Dans l'exemple, entre R1 et 192.168.1.0, la meilleure route passe par R2, R3 et R4 pour un cout total de 1 + 1 + 10 + 10 soit 

22 . 
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63.1.2.4. La determination d'une table de routage 

La base de donnees topologique decrit le reseau mais ne sert pas directement au routage. La table de routage est determinee par 
l'application de 1'algorithme du SPF sur la base topologique. Sur Rl, voici un extrait de la table de routage calculee par SPF au 
sujet du reseau 192.168.1.0 : 


Reseau de destination 

Moven de l'atteindre 

Cout 

192.168.1.0 

R2 

22 


Sur R5, on aura l'extrait suivant : 


Reseau de destination 

Moven de l'atteindre 

Cout 

192.168.1.0 

R4 

20 


63.1.3. Le fonctionnement d’OSPF un peu plus en detail 

Pour administrer un reseau OSPF correctement, il est indispensable de comprendre le fonctionnement interne du protocole. 

a 1’interieur d’une meme zone, les routeurs fonctionnant sous OSPF doivent prealablement remplir les taches suivantes avant de 
pouvoir effectuer leur travail de routage : 

1 . etablir la liste des routeurs voisins ; 

2. elire le routeur designe (et le routeur designe de secours) ; 

3. decouvrir les routes ; 

4. elire les routes a utiliser ; 

5. maintenir la base de donnee topologique. 


63.1.3.1. 0. etat initial 

Le processus de routage OSPF est inactif sur tous les routeurs de la figure 1 . 


63.1.3.2. Etablir la liste des routeurs voisins : Hello, my name is Rl and I'm an OSPF router. 

Les routeurs OSPF sont bien eleves. Des qu'ils sont actives, ils n'ont qu'une hate : se presenter et faire connaissance avec leurs 
voisins. En effet, lorsque le processus de routage est lance sur Rl (commande router ospf), des paquets de donnees 
(appeles paquets HELLO) sont envoyes sur chaque interface oil le routage dynamique a ete active (commande network). 
L'adresse multicast 224.0.0.5 est utilisee, tout routeur OSPF se considere comme destinataire. Ces paquets ont pour but de 
s'annoncer aupres de ses voisins. Deux routeurs sont dits voisins s'ils ont au moins un lien en commun. Par exemple, sur la 
figure 1, Rl et R2 sont voisins mais pas Rl et R3. Lorsque le processus de routage OSPF est lance sur R2, celui-ci recupere les 
paquets HELLO emis par Rl toutes les 10 secondes (valeur par defaut du temporisateur appele hello interval). R2 integre 
l'adresse IP de Rl dans une base de donnees appelee "base d'adjacences" (adjacencies database). Cette base contient les 
adresses des routeurs voisins. Vous pourrez visionner son contenu grace a la commande show ip ospf neighbor. R2 
repond a Rl par un paquet IP unicast. Rl integre l'adresse IP de R2 dans sa propre base d'adjacences. Ensuite, generalisez ce 
processus a l'ensemble des routeurs de la zone. 

Cette phase de decouverte des voisins est fondamentale puisque OSPF est un protocole a etat de liens. II lui faut connaitre ses 
voisins pour determiner s'ils sont toujours joignables et done determiner l'etat du lien qui les relie. 


63.1.3.3. Elire le routeur designe : e'est moi le chef ! 

Dans une zone OSPF, fun des routeurs doit etre elu "routeur designe" (DR pour Designated Router) et un autre "routeur 
designe de secours" (BDR pour Backup Designated Router). Le DR est un routeur particular qui sert de referent au sujet de la 
base de donnees topologique representant le reseau. 

Pourquoi elire un routeur designe ? Cela repond a trois objectifs : 

• reduire le trafic lie a l'echange d'informations sur l'etat des liens (car il n’y a pas d’echange entre tous les routeurs mais 
entre chaque routeur et le DR) ; 

• ameliorer l’integrite de la base de donnees topologique (car il y a une base de donnees unique) ; 

• accelerer la convergence (souvenez-vous, e’etait le talon d’Achille de RIP). 

Comment elite le DR ? Autrement dit, qui va se taper la corvee d’expliquer a ses petits camarades la topologie du reseau ? On 
ne demande pas qui sait parler anglais ou couper les cheveux comme au temps de la conscription Mais comme il faut bien un 
critere, le routeur elu est celui qui a la plus grande priorite. La priorite est un nombre sur 8 bits fixe par defaut a 1 sur tous les 
routeurs. Pour departager les routeurs ayant la meme priorite, e'est celui avec la plus grande adresse IP qui est elu. Le BDR sera 
le routeur avec la deuxieme plus grande priorite. Afin de s'assurer que vote routeur prefere sera elu DR, il suffit de lui affecter 
une priorite superieure a 1 avec la commande ospf priority. Vous devrez faire ceci avant d'activer le processus de 
routage sur les routeurs car, une fois elu, le DR n'est jamais remis en cause meme si un routeur avec une priorite plus grande 
apparait dans la zone. 
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63.1.3.4. Decouvrir les routes 

II faut maintenant constituer la base de donnees topologique. Les routeurs communiquent automatiquement les routes pour les 
reseaux qui participent au routage dynamique (ceux declares avec la commande network). Zebra etant multiprotocole, il peut 
egalement diffuser des routes provenant d'autres sources que OSPF, grace a la commande redistribute. 

Chaque routeur (non DR ou BDR) etablit une relation maitre/esclave avec le DR. Le DR initie l'echange en transmettant au 
routeur un resume de sa base de donnees topologique via des paquets de donnees appeles LSA (Link State Advertisement). Ces 
paquets comprennent essentiellement l'adresse du routeur, le cout du lien et un numero de sequence. Ce numero est un moyen 
pour determiner l'anciennete des informations regues. Si les LSA regus sont plus recents que ceux dans sa base topologique, le 
routeur demande une information plus complete par un paquet LSR (Link State Request). Le DR repond par des paquets LSU 
(Link State Update) contenant l'integralite de 1'information demandee. Ensuite, le routeur (non DR ou BDR) transmet les routes 
meilleures ou inconnues du DR. 

L'administrateur peut consulter la base de donnees topologique grace a la commande show ip ospf database. 


63.1.3.5. Elire les routes a utiliser 

Lorsque le routeur est en possession de la base de donnees topologique, il est en mesure de creer la table de routage. 
L’algorithme du SPF est applique sur la base topologique. Il en ressoit une table de routage contenant les routes les moins 
couteuses. 

Il faut noter que sur une base de donnees topologique importante, le calcul consomme pas mal de ressources CPU car 
l’algorithme est relativement complexe. 


63.1.3.6. Maintenir la base topologique 

Lorsqu’un routeur detecte un changement de l’etat dim lien (cette detection se fait grace aux paquets HELLO adresses 
periodiquement par le routeur a ses voisins), celui-ci emet un paquet LSU sur l’adresse multicast 224.0.0.6 : le DR et le BDR 
de la zone se considerent comme destinataires. Le DR (et le BDR) integre cette information a sa base topologique et diffuse 
1’information sur l’adresse 224.0.0.5 (tous les routeurs OSPF sans distinction). C'est le protocole d’inondation.Toute 
modification de la topologie declenche une nouvelle execution de l’algorithme du SPF et une nouvelle table de routage est 
constituee. 


Voila pour les principes fondamentaux d’OSPF mais des notions importantes restent a evoquer si vous souhaitez deployer 
OSPF sur de grands reseaux (en particulier sur le fonctionnement d’OSPF sur un reseau point a point et sur l’agregation de 
routes). Si vous voulez approfondir, reportez-vous au livre de C. Huitema cite en bibliographic qui, bien qu’un peu ancien est 
tres complet sur la question. Bien sur, vous pouvez toujours vous plonger dans les differentes RFC qui constituent OSPF (la 
RFC 2328 en particulier) et dont la lecture est toujours aussi agreable et passionnante ! (je plaisante, bien sur). 

Avant d’attaquer la pratique, un dernier concept : les zones OSPF. 


63.1 .3.7. Le concept de zone (area) 

Contrairement a RIP, OSPF a ete pense pour supporter de tres grands reseaux. Mais, qui dit grand reseau, dit nombreuses 
routes. Done, afin d’eviter que la bande passante ne soit engloutie dans la diffusion des routes, OSPF introduit le concept de 
zone (area). Le reseau est divise en plusieurs zones de routage qui contiennent des routeurs et des hotes. Chaque zone, 
identifiee par un numero, possede sa propre topologie et ne connait pas la topologie des autres zones. Chaque routeur d’une 
zone donnee ne connait que les routeurs de sa propre zone ainsi que la fagon d’atteindre une zone particuliere, la zone numero 
0. Toutes les zones doivent etre connectees physiquement a la zone 0 (appelee backbone ou reseau federateur). Elle est 
constituee de plusieurs routeurs interconnectes. Le backbone est charge de diffuser les informations de routage qu’il recoit 
d’une zone aux autres zones. Tout routage base sur OSPF doit posseder une zone 0. 


Figure 63-4. Un reseau decoupe en trois zones 


Le reseau est decoupe en trois zones dont le backbone. Les routeurs de la zone 1, par exemple, ne connaissent pas les routeurs 
de la zone 2 et encore moins la topologie de la zone 2. L’interet de definir des zones est de limiter le trafic de routage, de 
reduire la frequence des calculs du plus court chemin par l’algorithme SPF ainsi que d’avoir une table de routage plus petite (ce 
qui accelere la convergence). Les routeurs R1 et R4 sont particuliers puisqu'ils sont "a cheval" entre plusieurs zones (on les 
appelle ABR pour Area Border Router ou routeur de bordure de zone). Ces routeurs maintiennent une base de donnees 
topologique pour chaque zone a laquelle il sont connectes. Les ABR sont des points de sortie pour les zones ce qui signifie que 
les informations de routage destinees aux autres zones doivent passer par l’ABR local a la zone. L’ABR se charge alors de 
retransmettre les informations de routage au backbone. Les ABRs du backbone ensuite redistribueront ces informations aux 
autres zones auxquelles ils sont connectes. 
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63.1.4. Place a la pratique 

Nous allons travailler avec le reseau suivant : 


Figure 63-5. Topologie de travail 


Le reseau a ete decoupe en trois zones. Vous remarquez que la zone 0 permet de federer l'ensemble du reseau. II s'agit du 
backbone dont nous avons deja discute. Le decoupage de ce reseau en trois zones est un cas d'ecole dont le but est d'examiner 
la configuration d'OSPF dans un contexte multi-zone. Generalement, on considere qu'une zone peut accueillir plusieurs 
dizaines de routeurs. 

Pour ne pas surcharger ces lignes inutilement, nous nous en tiendrons ici a la configuration de Rl, R2 et R3. Vous verrez que la 
configuration n'est pas tres complexe. Par symetrie, il est facile de l'adapter aux autres routeurs. Pour votre service, chers 
lecteurs, j'ai mis en ligne une carte cliquable (http://perso.club-intemet.fr/pmassol/lm/ospf.html) qui vous permettra de 
consulter l'etat, la configuration complete et la table de routage des six routeurs. 

Enfin, avant de commencer, vous trouverez sur http://perso.club-internet.fr/pmassoPzebra.html une traduction (partielle) de la 
documentation de Zebra. 


63.1 .4.1 . Situation de depart 

Vous devez creer des fichiers de configuration pour zebra (/ etc/ zebra/ zebra . conf) et ospfd 
(/etc/ zebra/ ospfd . conf) rudimentaires sur chaque routeur. Par exemple, pour Rl : 

- fichier zebra.conf : 

hostname Rl (ZEBRA) password foo 

- fichier ospfd. conf : 

hostname Rl (OSPF) password foo 

Vous devez ensuite demarrer (ou redemarrer), dans l'ordre s'il vous plait, les deux demons zebra et ospfd sur chaque routeur. 
Enfin, sur Rl entrez dans le terminal de configuration de ospfd via le port telnet 2604 : 


L 

inux# telnet localhost 2604 

Hello, this is zebra (version 0.91a) . 

Copyright 1996-2001 Kunihiro Ishiguro. 

User Access Verification 
Password : 

Rl (OSPF) > enable 
Rl (OSPF) # 

Si vous avez envie de suivre precisement les echanges de messages entre routeurs. Zebra propose un puissant mecanisme de 
debogage grace a la commande debug (je vous laisse decouvrir tous ses parametres). Supposons que je veuille garder une 
trace de tous les messages HELLO emis par Rl : 

Rl (OSPF) # conf t 

Rl (OSPF) (config) # log file /var/log/zebra/ospfd . log 
Rl (OSPF) (config) # debug ospf packet hello send detail 


II faut que le repertoire /var/log/zebra existe. 


63.1.4.2. Activation du processus de routage 

Dans le mode "config", nous allons activer le processus OSPF : 

Rl (OSPF) (config) # routerospf 
Rl (OSPF) (conf ig-router) # 


63.1.4.3. 2. Activation des annonces de routes 

Le processus de routage OSPF est active mais rien ne se passe. Comme pour RIP, il faut indiquer sur quel(s) reseau(x) on 
souhaite que le routage dynamique soit operationnel. Ceci se fait par la commande network. Mais, nouveaute par rapport a 
RIP qui n'integre pas le concept de zone, il faut indiquer a quelle zone sera rattache le reseau. Sur la figure 5, on voit que Rl est 
relie a deux reseaux. Le reseau 30.0.0.0/8 est attache a la zone 0 et le reseau 11.0.0.0/8 a la zone 1. La configuration se fait 
done de cette maniere : 


Rl (OSPF) (conf ig-router) # network 30.0.0.0/8 area 0 
Rl (OSPF) (conf ig-router) # network 11.0.0.0/8 area 1 


63.1 .4. Place a la pratique 
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Que se passe-t-il sur le reseau ? R1 envoie des paquets HELLO sur les interfaces pour lesquelles la commande network a 
ete saisie. Mais personne n'est la pour les ecouter. Activez le routage sur R2 en adaptant les commandes aux specificites du 
routeur. Je vous aide un peu. Sur R2, vous realiserez les configurations suivantes : 

R2 (OSPF) (conf ig-router) # network 11.0.0.0/8 area 1 
R2 (OSPF) (conf ig-router ) # network 12.0.0.0/8 area 1 

Enfin, sur R3, vous realiserez les configurations suivantes : 

R3 (OSPF) (conf ig-router) # network 12.0.0.0/8 area 1 
R3 (OSPF) (conf ig-router ) # network 192.168.3.0/24 area 1 

Mais sur R3, il y a une particularite. Le reseau 192.168.3.0/24 contient des ordinateurs mais aucun routeur. La commande 
network va diffuser sur ce reseau des annonces de routes ce qui consomme inutilement de la bande passante. Par consequent, 
nous allons desactiver cette diffusion : 

R3 (OSPF) (conf ig-router) # passive-interface ethl 

Ainsi, aucune route n'est diffusee sur cette interface. De meme, aucune annonce de route ne sera prise en compte. Le reseau 
sera considere comme etant d'extremite (stub). 


63.1.4.4. Affichage de la configuration 

Affichons la configuration complete de R1 : 

R1 (OSPF) (conf ig-router) # end 
R1 (OSPF) # show running-conf ig 

Current configuration: 

i 

hostname R1 (OSPF) 
password foo 

I 

i 

i 

interface lo 

i 

interface ethO 

i 

interface ethl 

i 

router ospf 

network 11.0.0.0/8 area 1 
network 30.0.0.0/8 area 0 

i 

line vty 

i 

end 


Affichons la configuration complete de R3 : 

R3 (OSPF) # show running-conf ig 
Current configuration: 

i 

hostname R3 (OSPF) 
password foo 


interface lo 

i 

interface ethO 

i 

interface ethl 

i 

router ospf 

passive-interface ethl 
network 12.0.0.0/8 area 1 
network 192.168.3.0/24 area 1 

i 

line vty 

i 

end 

J'espere que vous avez la meme configuration. Si ce n'est pas le cas, vous pouvez annuler une ligne contenant une erreur en 
vous remettant au meme endroit ou vous avez saisi la commande et en saisissant a nouveau la commande, mais en la faisant 
preceder de no. 

Pour enregistrer la configuration, je vous rappelle que Ton saisit : 

R1 (OSPF) # copy running-conf ig startup-conf ig 
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Reproduisez maintenant ces manipulations sur l'ensemble des routeurs du reseau. 


63.1.4.5. Etat des routeurs 

Nos petits routeurs ont, en principe, bien travaille. Dans chaque zone, ils ont elu leur chef (le DR), ils ont echange leurs 
connaissances et calcule une magnifique table de routage, ultra-optimale. En resume, les deux stations d'extremite de la figure 
doivent pouvoir s'atteindre avec une commande ping. Si jamais ce n'est pas le cas, c'est que probablement vous vous etes 
trompe dans une configuration. Dans ce cas, reprenez la configuration de chaque appareil. Utilisez les outils ping, tcpdump 
et traceroutE pour controler votre configuration et suivre les paquets. Et n'oubliez pas que dans un ping, il y a un aller 
mais aussi un retour ! 

Afm d’illustrer ce dont nous avons discute dans la toute premiere partie de cet article, examinons l’etat du routeur Rl. Nous 
pouvons faire un diagnostic tres complet de l’appareil en utilisant les nombreuses sous-commandes de show ip ospf . Vous 
constaterez que les informations foumies par ospfd sur son etat sont beaucoup plus consequentes que celles que Ton pouvait 
extirper de ripd. 

Dans un premier temps, je vous propose d’examiner fetat de sante general du routeur R3 : 


R3 (OSPF) # show ip ospf 

OSPF Routing Process, Router ID: 192.168.3.254 
Supports only single TOS (TOSO) routes 
This implementation conforms to RFC2328 
RFC1583Compatibility flag is disabled 

SPF schedule delay 5 secs. Hold time between two SPFs 10 secs 
Refresh timer 10 secs 
Number of external LSA 0 

Number of areas attached to this router: 1 
Area ID: 0.0. 0.1 

Shortcutting mode: Default, S-bit consensus: no 
Number of interfaces in this area: Total: 2, Active: 2 
Number of fully adjacent neighbors in this area: 1 
Area has no authentication 

Number of full virtual adjacencies going through this area: 

0 

SPF algorithm executed 13 times 
Number of LSA 9 

Le premier bloc decrit le fonctionnement general du routeur : 1’ID du routeur (egale a sa plus grande adresse IP), conformite 
aux RFC, valeurs des temporisateurs. Une settle zone est attachee a ce routeur. C'est la zone 1 (exprimee en notation decimale 
pointee). Notre routeur a deux interfaces dans la zone, il n’a qu’un seul voisin. L'algorithme du SPF a ete execute 13 fois. La 
base de donnees topologique contient neuf etats de liens (LSA). Si notre routeur etait attache a plusieurs zones, le deuxieme 
bloc serait repete autant de fois que de zones. Vous pourrez le constater sur Rl. 

Maintenant, listons nos informations sur les routeurs voisins : 


R3 (OSPF) # show ip ospf neighbor 


Neicrhbor ID 

Pri 

State 

Dead Time 

Address 

Interface 

RXmtL 

RcrstL 

DBsmL 

12.0.0.1 

1 


00:00: 34 

12.0.0.1 

ethO 

0 

0 

0 


Dechiffrons ces informations. La difference entre la colonne ID et la colonne Address, c'est que l’ID identifie l’appareil dans le 
reseau alors que l’adresse correspond a l'interface a laquelle nous sommes relie avec ce routeur. La colonne State nous apprend 
deux choses : il est synchronise avec le routeur designe grace a la mention "Full", c' est le "routeur designe de secours" de la 
zone grace a l'indicateur Backup. Ce routeur sera declare comme inactif si nous ne recevons pas de message HELLO d'ici 34 
secondes (Dead Time). 

Voyons le content! de la base de donnees topologique de R3 : 

R3 (OSPF) # show ip ospF database 

OSPF Router with ID (192.168.3.254) 

Router Link States (Area 0.0. 0.1) 


Link ID 

ADV Router 

Acre 

Sea# 

CkSum 

Link count 

I — 1 

K> 

O 

O 

I — 1 

12.0.0.1 

981 

0x80000006 

Oxf 9e2 

2 

30.0.0.1 

30.0.0.1 

952 

0x80000003 

0xbl3e 

1 

192.168.3.254 

192.168.3 .254 

1063 

0x80000005 

0xl5b7 

2 


Net Link States (Area 0.0. 0.1) 


Link ID 

ADV 

Router 

Acre 

Sea# 

CkSum 

11.0.0.2 

12 . 0 

.0.1 

981 

0x80000001 

0xda3 9 

12.0.0.2 

192 . 

168.3.254 

1063 

0x80000001 

0x5d0b 
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Summary Link States (Area 0.0. 0.1) 


Link ID 

ADV Router 

Acre 

Sea# 

CkSum 

Route 

21.0.0.0 

30.0.0.1 

837 

0x80000001 

OxOdO 8 

21.0.0.0/8 

22.0.0.0 

30.0.0.1 

702 

0x80000001 

0x64a5 

22.0.0.0/8 

30.0.0.0 

30.0.0.1 

976 

0x80000001 

0x33e2 

30.0.0.0/8 

172 .18.0.0 

30.0.0.1 

599 

0x80000001 

0x4a0d 

172 .18.0 .0/24 


Ces trois tableaux presentent de fagon synthetique l'ensemble des LSA stockes dans la base topologique. Le premier tableau 
contient des LSA diffuses par chaque routeur. 11s decrivent l'etat des interfaces de chaque routeur. Le deuxieme tableau 
contient des LSA diffuses par le routeur designe. Ils decrivent la liste des routeurs presents dans chaque reseaux. Le dernier 
tableau contient un resume des routes diffusees par le routeur de bordure de zone (ABR). Ce sont des routes qu'il a recu via le 
backbone par les routeurs des autres zones. L'age et le numero de sequence sont utilises pour mettre a jour la base lorsque des 
LSA sont rccus. Le check sum est utilise pour controler l'integrite des LSA. 

Pour obtenir des informations detaillees sur chaque LSA, vous pouvez completer la commande show ip ospf database 
par router, network ou summary. Par exemple : show ip ospf database router 1 92 . 1 68 . 3 . 254 (qui 
correspond a la troisieme ligne du premier tableau) vous apprendra que ce router est relie a deux reseaux : un de transit 
(12.0.0.0/8) et un d'extremite (stub) 192.168.3.0/24. 

Enfin, si vous voulez consulter la table de routage obtenue apres traitement par SPF des differents LSA, vous n'aurez qu'a saisir 
un show ip ospf route. Rappel important : il y a une difference entre cette table et celle utilisee par le demon zebra pour 
le routage proprement dit. Souvenez-vous que Zebra est multi-protocole et qu'il a une architecture modulaire (voir LM 43). 
Chaque demon calcule une table de routage a partir des informations dont il dispose (et qui ne sont pas necessairement les 
memes pour chaque demon). Ensuite, ils transmettent chacun leur table au demon zebra qui en fait la synthese. Cette synthese 
constitue la veritable table de routage utilisee pour router les paquets. 

Nous avons fait un tour d'horizon des principales commandes de Zebra permettant de surveiller l'etat de ospfd. Il y en a encore 
beaucoup d' autres que je vous laisse decouvrir (faites un show ip ospf ? par exemple). Il nous reste a observer la table de 
routage obtenue par zebra. Quittez ospfd et connectez-vous sur le demon zebra (telnet localhost 2601) : 


R3 (Zebra) > show ip route 

Codes: K - kernel route, C - connected, S - static, 

R - RIP, 0 - OSPF, B - BGP , 

> - selected route, * - FIB route 

0>* 11.0.0.0/8 [110/20] via 12.0.0.1, ethO, 00:12:48 
O 12.0.0.0/8 [110/10] is directly connected, ethO, 
00:14:09 

C>* 12.0.0.0/8 is directly connected, ethO 

0>* 21.0.0.0/8 [110/40] via 12.0.0.1, ethO, 00:11:18 

0>* 22.0.0.0/8 [110/50] via 12.0.0.1, ethO, 00:10:16 

0>* 30.0.0.0/8 [110/30] via 12.0.0.1, ethO, 00:12:13 

C>* 127.0.0.0/8 is directly connected, lo 
0>* 172.18.0.0/24 [110/60] via 12.0.0.1, ethO, 00:08:48 
0 192.168.3.0/24 [110/10] is directly connected, ethl, 

00:14:19 

C>* 192.168.3.0/24 is directly connected, ethl 


Les routes notees O ont ete decouvertes par OSPF. Entre crochets, on observe la distance administrative du protocole (110 par 
defaut pour OSPF) et le cout de la route pour acceder au reseau. Dans ma topologie, il n'y a que des reseaux a 10 Mbits/s, done 
avec un cout par defaut de 10 pour chaque lien. 


63.1.4.6. Quelques elements sur la securite 

63.1.4.6.1. Filtrer la diffusion des routes 

Le premier inconvenient d'un protocole de routage dynamique comme OSPF est sa volubilite. Il a tendance a devoiler tout un 
tas d'informations sur les reseaux qu'un administrateur consciencieux n'a pas forcement envie de reveler. Pour limiter la 
diffusion des routes au strict minimum, ospfd integre, a l'instar de ripd, un mecanisme d'access-lists. Reportez-vous a l'article 
publie sur Zebra dans Linux Magazine 43. La configuration est strictement identique. J'en profite pour faire un peu de publicite 
: si vous etes interesses par les problemes de securite, je vous conseille l'excellent magazine M.I.S.C. La serie d' articles sur la 
"protection de 1' infrastructure reseau IP" constitue sur certains points un approfondissement interessant. 


63.1.4.6.2. Proteger les annonces de routes 

Le deuxieme inconvenient d'un protocole de routage dynamique comme OSF est sa naivete. Il croit tout ce qu'on lui dit ! Un 
petit malin pourrait s’amuser a diffuser des routes farfelues a vos routeurs, ce qui pourrait provoquer des denis de service. Pour 
pallier a cela, on peut activer l'authentification des annonces sur une zone. Voici les manipulations a realiser sur chaque routeur 


Routeur (OSPF) (conf ig-router ) # area 1 authentication message-digest 

Ensuite, pour chaque interface participant a la diffusion des routes : 
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Routeur (OSPF) (config) # int ethx 

Routeur (OSPF) (config-if) # ospf message-digest-key 1 md5 motdepasse 

Vous adapterez motdepasse a vos besoins. Ce mot de passe doit bien sur etre connu de tous les routeurs. 


63.1.5. Conclusion 

OSPF est un protocole de routage dynamique moderne, robuste et concu pour les grands reseaux. On constate qu'il est 
nettement plus complexe que RIP. Pas forcement dans sa configuration mais dans son fonctionnement interne. Un inconvenient 
de ce protocole est qu'il peut etre gourmand en puissance de calcul et en memoire lorsque le reseau comporte beaucoup de 
routes ou qu'il y a de frequentes modifications de topologie. 

OSPF est un protocole IGP (Interior Gateway Protocol), c'est-a-dire qu’il agit au sein d’un systeme autonome. Un AS 
(Autonomous System) est un ensemble de reseaux geres par un administrates commun. Chaque systeme autonome possede un 
numero identifiant sur 16 bits delivre par 1’IANA (Internet Assigned Numbers Authority) ou ses delegations. Classiquement, 
les multinationales, les operateurs de telecom ou les fournisseurs d'acces a Internet detiennent un systeme autonome. Pour 
assurer le routage entre les systemes autonomes, un protocole de type EGP (Exterior Gateway Protocol) doit etre mis en 
oeuvre. Dans le cas d'Internet, c'est generalement BGP (Border Gateway Protocol) qui assume cette mission. BGP, protocole 
supporte par Zebra, constitue un vaste terrain d'investigation. 


Chapitre 64. Le routage dynamique avec BGP 


Initiation au routage BGP 


64.1. Introduction 

Internet relie des reseaux appartenant a des acteurs (entreprises, administrations, operateurs de telecommunication, fournisseurs 
d'acces...) tres differents. II est peu probable qu'un consensus se degage naturellement autour d'un meme algorithme de 
routage dynamique et d'une meme metrique. Ajoutons que des accords sont passes entre ces acteurs afin d'acheminer le trafic 
dans 1 'Internet et que celui-ci franchit des frontieres, ce qui impose de respecter les reglementations locales. Le protocole BGP 
(Border Gateway Protocol) a ete 0011511 pour repondre a ces problemes. Comme toujours, nous allons aborder brievement son 
fonctionnement avant de passer a une mise en pratique avec Zebra. 


64.1.1. Les grands principes 

BGP achemine les informations de routage entre les reseaux relies a Internet. 


64.1 .1 .1 . Le concept de systeme autonome 

Au sein d'une meme organisation, les decisions concernant la topologie ou la politique de routage sont, en general, prises par 
une autorite unique. Par consequent, le routage a l'interieur de l'organisation est base sur la confiance et un protocole de type 
IGP comme OSPF est mis en oeuvre. Un reseau fonctionnant sous une autorite unique est appele un systeme autonome (AS). 
En pratique, un AS regroupe un ou plusieurs reseaux et un ou plusieurs routeurs ainsi que le montre l'exemple de la figure 1 : 


Figure 64-1. Un systeme autonome constitue de reseaux 


Les AS sont identifies par un numero sur 16 bits unique attribue par les memes organismes qui affectent les adresses IP. II 
existe une plage de numeros d'AS prives de 64 512 a 65 535 pour ceux qui ne possedent pas de numero d'AS public. 

A l'interieur de votre AS, vous pouvez bien faire ce que vous voulez. Vous preferez tel protocole de routage ? Vous estimez 
que telle metrique est plus pertinente ? Tant mieux, cela ne regarde que vous. La seule contrainte, c'est que vous devrez 
designer un ou plusieurs routeurs, a la frontiere de votre AS, pour propager les informations d'accessibilite de vos reseaux et 
collecter les informations d'accessibilite des autres ASBR. 

Par exemple, si l'on reprend la topologie presentee dans la sequence sur OSPF, que l'on en fait un AS, on obtiendrait : 


Figure 64-2. Un AS decoupe en zones OSPF 


Ce systeme autonome utilise OSPF en tant qu'IGP. II est decoupe en trois zones. R4 est le routeur de bordure de zone. Celui-ci 
doit fonctionner sous BGP. 


64.1.1.2. Les politiques de routage 

Internet est un maillage de reseaux. Cela signifie que plusieurs chemins existent entre deux reseaux d'extremite (figure 3). 
Mais ceux-ci ne sont pas tous equivalents. 
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Figure 64-3. Reseaux d'AS 


En effet, imaginez vos datagrammes circulant dans cette jungle cmelle et barbare qu'est Internet. Vous prefererez peut etre 
qu'ils transitent par tel AS, car radministrateur est un pote ou que vous avez negocie un tarif avantageux. Vous refuserez 
peut-etre qu'ils transitent par tel AS car vos flux sont incompatibles avec la legislation en vigueur dans le pays ou pour toute 
autre consideration politique, economique ou de securite que Eon peut imaginer. Dans ce cas, vous aurez besoin de definir une 
politique de routage sur Internet. BGP vous rendra ce service. 

Dans le reseau, radministrateur de l'AS 600 definit une politique de routage. II veut joindre 1'AS 200 en passant par les AS 
300 et 100. 


64.1.1.3. Les informations de routage echangees par BGP 

Une des particularites de BGP-IV (RFC 1771) est qu'il s’appuie sur la couche TCP (port 179), ce qui permet de s’affranchir de 
la necessite de supporter les fonctions de fragmentation, de retransmission, d’acquittement et de sequencement. 

Deux routeurs BGP s'echangent des messages pour ouvrir et maintenir la connexion. Le premier Hot de donnees est la table 
entiere de routage. Ensuite, des mises a jours incrementielles sont envoyees lorsque la table de routage change : BGP ne 
necessite pas de mises a jour periodiques des tables de routage. Par contre, un routeur BGP doit retenir la totalite des tables de 
routage courantes de tous ses pairs durant le temps de la connexion. Des messages « keepalive » sont envoyes periodiquement 
pour maintenir la connexion. 

BGP est un protocole de type " Path Vector ". Les routeurs s'echangent des informations du type : 


Adresse IP du reseau de destination 


Adresse IP du prochain routeur (next hop) 


Liste des AS traverses pour atteindre le 
reseau 


On constate qu'avec BGP, la granularite du routage est l'AS. Par defaut, lorsque plusieurs route existent entre deux AS, BGP 
choisit la route qui traverse le moins d’AS. 

64.1.1.4. Quand utiliser BGP ? 

Ce protocole est generalement utilise par les fournisseurs d'acces a Internet, les administrateurs des points d'echange (IXP) et 
les administrateurs de systemes autonomes qui souhaitent mettre en oeuvre leur propre politique de routage. 

64.1.2. Place a la pratique 

Voyons sur quelle topologie nous allons travailler : 


Figure 64-4. Topologie 


Nous avons trois systemes autonomes numerates 10, 20 et 30. Dans un souci de simplification, chaque systeme autonome a 
une topologie relativement simple. De ce fait, aucun IGP n’est utilise. On constate que chaque routeur est un ASBR. L’AS 20 a 
une particularite car pour les AS 10 et 30, c’est un AS de transit. Nous reviendrons sur ce point dans la mise en oeuvre. 


64.1.2.1. Taches de configuration 

Sur chaque routeur, il faudra realiser les taches suivantes : 

0. preparer des fichiers /etc / zebra / zebra . conf et /etc/zebra/bgpd . conf rudimentaires, ne comportant que le 
nom de l’hote et le mot de passe pour acceder a la console d’administration. Ensuite, dans le shell Linux, il faut lancer les 
demons zebra et bgpd dans l’ordre ; 

1. activer le processus de routage BGP en indiquant dans quel AS de situe le routeur (commande router bgp 
<numero_AS>) ; 

2. specifier les routes a annoncer via BGP (commande network <pref ixe_IP_du_reseau>/ <masque>) ; 

3. etablir une relation avec les routeurs voisins (commande neighbor <IP_du_voisin> remote-as 
<AS_du_voisin>). 


64.1.2.2. Situation de depart 

Vous devez creer des fichiers de configuration pour zebra (/ etc/ zebra/ zebra . conf) et bgpd 
(/etc/ zebra/bgpd . conf) rudimentaires sur chaque routeur. Par exemple, pour R1 : 

- fichier zebra.conf : 

hostname R1 (ZEBRA) 
password foo 
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- fichier bgpd.conf : 

hostname R1 (BGP) password foo 
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Vous devez ensuite demarrer (ou redemarrer), les deux demons zebra et bgpd sur chaque routeur. Enfin, sur vous entrez dans le 
terminal d'administration de bgpd via le port telnet 2605. Par exemple, sur R1 : 

Linux# telnet localhost 2605 Hello, this is zebra (version 0.91a). Copyright 1996-2001 Kunihiro Ishiguro. User Access 
Verification Password: R1(BGP)> enable Rl(BGP)# 

Si vous avez envie de suivre precisement les echanges de messages entre routeurs. Zebra propose un mecanisme de debogage 
grace a la commande debug. Supposons que nous voulions garder une trace de toutes les mises a jour d'informations de 
routage BGP emises et regues par R1 : 

R1 (BGP) # conf t 

R1 (BGP) (config) # log file /var/log/zebra/bgpd. log 
Rl(BGP) (config)# debug bgp updates 


11 faut s'assurer que le repertoire /var/log/zebra existe. 

64.1.2.3. Activation du processus de routage 

Dans le mode « config », nous allons activer le processus BGP en n'oubliant pas d'indiquer le numero d'AS. Par exemple, sur 
R1 : 

Rl(BGP) (config)# router bgp 10 
Rl(BGP) (config-router) # 

64.1.2.4. Specification des routes a annoncer 

Pour Rl, le seul reseau que Ton souhaite annoncer via BGP aux autres routeurs est 191.10.0.0/24 car il contient des ordinateurs 


Rl (BGP) (config-router)# network 191.10.0.0/24 

Cette commande est a renouveler autant de fois qu'il y a de reseaux a annoncer. Dans notre exemple, nous avons choisi 
volontairement de ne pas annoncer le reseau 10.0.0.0/8 car celui-ci ne contient que des routeurs. Vous noterez au passage que 
cette commande n’a pas la meme vocation que dans RIP ou OSPF. 


64.1.2.5. Etablissement d’une connexion avec les voisins 

II faut distinguer deux cas : mon voisin est-il dans un autre AS ou dans le meme AS que moi ? 

1. Cas ou le voisin est dans un autre AS : 

Je rappelle que "un voisin" est un routeur avec lequel on est immediatement connecte. II faut indiquer son adresse IP ainsi que 
son numero d’AS. Dans le jargon BGP, une connexion entre deux routeurs BGP s'appelle peering. Sur Rl, on saisit la 
commande : 

Rl (BGP) (config-router)# neighbor 10.0.0.2 remote-as 20 

Cette commande est a renouveler autant de fois qu'il y a de routeurs BGP immediatement connectes (et avec qui on souhaite 
echanger des informations de routage bien sur). 

2. Cas ou le voisin est dans le meme AS : 


L’AS 20 est particular car il vehicule des donnees qui ne lui sont pas destinees, en particular les informations de routage en 
provenance et a destination des AS 10 et 30. En effet, pour que l’AS 30 connaisse l’existence du reseau 191.10.0.0/24, R2 doit 
recuperer cette information aupres de Rl puis la transmettre a R3 qui lui-meme la transmettra a R4. R2 et R3 etant dans le 
meme AS, un "sous-protocole" de BGP appele iBGP est mis en oeuvre automatiquement par le routeur. Mais, celui-ci a la 
particularite de ne pas modifier les next hop lorsqu'il relaie des informations de routage. Ainsi, sans intervention, R4 
apprendrait que le next hop pour joindre 192.10.0.0/24 est 10.0.0.1. Or, celui-ci n’est pas joignable depuis l’AS 30 (puisque 
nous ne faisons pas de network 10.0.0.0/8). Pourpallier a cette lacune, il existe la directive next-hop-self. Ainsi 
sur R2 et sur R3 nous realiserons les configurations suivantes : 


R2 (BGP) (config-router)# neighbor 20.0 
R2 (BGP) (config-router)# neighbor 20.0 


0.2 remote-as 20 
0.2 next-hop-self 


R3(BGP) (config-router)# neighbor 20.0 
R3(BGP) (config-router)# neighbor 20.0 


0.1 remote-as 20 
0.1 next-hop-self 


64.1 .2. Place a la pratique 


243 







64.1.2.6. Affichage de la configuration 

Affichons la configuration complete de R1 : 
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R1 (BGP) (conf ig-router) # end 
Rl(BGP)# show running-conf ig 
Current configuration: 

I 

hostname R1 (BGP) 
password foo 

log file /var/log/zebra/bgpd . log 

i 

debug bgp updates 

I 

router bgp 10 
network 191.10.0.0/24 
neighbor 10.0.0.2 remote-as 20 

i 

line vty 

i 

end 

Affichons la configuration complete de R2 : 

R2(BGP)# show running-conf ig 
Current configuration: 

i 

hostname R2 (BGP) 
password foo 

j 

router bgp 20 
network 192.20.0.0/24 
neighbor 10.0.0.1 remote-as 10 
neighbor 20.0.0.2 remote-as 20 
neighbor 20.0.0.2 next-hop-self 

i 

line vty 

i 

end 

J'espere que vous avez la meme configuration. Si une commande est incorrecte, vous devez faire comme si vous vouliez la 
saisir a nouveau mais en la faisant preceder de no. 

Pour enregistrer la configuration, je vous rappelle que Ton saisit : 

R1 (OSPF) # copy running-conf ig startup-conf ig 

Par symetrie, vous devez etre en mesure de configurer les autres routeurs du reseau. 


64.1.2.7. Affichage de I'etat des routeurs 

64.1.2.7.1. Le debogage 

Si vous avez active le debogage, le fichier de log doit vous reveler des informations de ce style : 

R1 # cat /var/log/bgpd. log 
2003/05/24 03:29:03 

BGP: BGPd 0.91a starting: vty@2605, bgp@179 
2003/05/24 03:29:09 

BGP: 10.0.0.2 send UPDATE 191.10.0.0/24 nexthop 10.0.0.1, 
origin i , mp_nexthop ::, path 
2003/05/24 03:29:09 

BGP: 10.0.0.2 rcvd UPDATE w/ attr: nexthop 10.0.0.2, 
origin i , path 
202003/05/24 03:29:09 

BGP: 10.0.0.2 rcvd 192.20.0.0/24... 

On voit les annonces de routes emises (send UPDATE) et re£ues (recv UPDATE) par Rl. Si votre routage ne fonctionne pas, 
vous trouverez dans les journaux toutes les informations necessaires a la resolution de problemes. 


64.1.2.7.2. La table de routage 

Observons, par exemple, la table BGP calculee par R2 : 

R2(BGP)# show ip bgp 

BGP table version is 0, local router ID is 192.20.0.254 
Status codes: 

s suppressed, d damped, h history, * valid, > best, i - internal 
Origin codes: i - IGP, e - EGP, ? - incomplete 
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Network 

Next Hod 

Metric 

LocPrf 

Weicrht 

Path 

*> 

191.10.0 .0/24 

10.0.0.1 



0 

10 i 

*> 

192.20.0.0 

0 . 0 . 0 . 0 



32768 

i 

*>i 

193.20.0.0 

20.0.0.2 


100 

0 

i 

*>i 

194.30.0.0 

20.0.0.2 


100 

0 

30 i 


Total number of prefixes 4 

La premiere colonne indique si la route est valide (*), si BGP considere que c'est la meilleure (>) et si elle provient d’un routeur 
interne (i pour internal) a l’AS. Les parametres Metric, LocPrf (Local Preference) et Weight sont utilises par BGP pour lire la 
meilleure route vers une destination. BGP applique l’algorithme (simplifie) suivant : 

1. BGP choisit la route avec le plus grand poids (weight). Par defaut, une route directement connectee se voit attribuer le 
poids 32768 ; 

2. Si une route n'est toujours pas choisie, BGP choisit celle avec la plus grande "preference locale". Par defaut, une route 
issue d’un routeur interne a l’AS se voit attribuer une preference locale de 100 ; 

3. Si une route n'est toujours pas choisie, BGP choisit une route de type "internal" ; 

4. Si une route n’est toujours pas choisie, BGP retiens la route avec le chemin (As-Path) le plus court ; 

5. Si une route n’est toujours pas choisie, BGP choisit la route avec la metrique la plus faible. 

La colonne Path indique la liste des systemes autonomes a traverser avant d’atteindre le reseau. Le i indique ici que les routes 

sont de type IGP. En fait, BGP regroupe sous ce terme les routes statiques et decouvertes par un protocole dynamique tel RIP 
ou OSPF. 

Vous pouvez obtenir des informations detaillees sur une route particuliere en tapant : 

R2(BGP)# show ip bgp 194.30.0.0 

BGP routing table entry for 194.30.0.0/24 

Paths: (1 available, best #1, table Default-IP-Routing-Table) 30 
20.0.0.2 from 20.0.0.2 (193.20.0.254) 

Origin IGP, localpref 100, valid, internal, best 
Last update: Sat May 24 03:39:16 2003 


64.1.2.7.3. Informations sur les voisins 

Zebra propose de nombreuses commandes permettant de connaitre l’etat des voisins. Parmi les plus interessantes, on trouve : 


show in ban neiahbors 

Donne de nombreuses sur la connexion avec les voisins 

show in ban summary 

Svnthetise les informations ci-dessus dans un tableau 

show iD baD <IP voisin> routes 

Routes decouvertes a nartir de ce voisin 

show in baD <IP voisin> advertised-routes 

Routes annoncees a ce voisin 


64.1.3. Cohabitation entre BGP et les IGP 

Zebra peut tout a fait annoncer des routes dynamiques via BGP (commande redistribute). Toutefois, cette fonctionnalite 
est a envisager avec beaucoup de prudence car toute changement de topologie sera visible a l’exterieur du systeme autonome. 

64.1.4. Conclusion 

CIDR 

Route server 
Route reflector 
Cluster 

Chapitre 65. TP sur le routage statique avec Zebra 


Le document decrit les principes du routage IP et l’architecture du routeur logiciel Zebra. II propose une prise 
en main de Zebra et une mise en pratique du routage statique. 


65.1. Introduction 

Description et objectifs de la sequence. Une fois la sequence finie : 

1 . vous saurez utiliser l’interface de configuration de Zebra ; 

2. saisir des routes statiques ; 


Chapitre 65. TP sur le routage statique avec Zebra 
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3. deboguer un routage incorrect. 


65.1.1. Presentation des concepts importants 

65.1.1.1. Routage, routeur, route 

Imaginez que vous souhaitiez rendre visite a quelqu'un. Vous connaissez son adresse et, dans votre tete, vous avez la plupart 
des elements importants pour vous diriger (sortir de la maison, prendre a droite, au feu tourner a gauche, marcher jusqu'au 
rond-point, tourner a droite, etc.). 

Dans I'univers informatique, c'est sensiblement different. Lorsqu’un ordinateur emet un paquet de donnees a destination d’un 
ordinateur situe dans un autre reseau, il ne sait pas quelle route il va prendre. La seule chose connue est l’adresse de destination 
du paquet ainsi que l’adresse d’une machine a proximite, situee dans son reseau, et qui joue le role de la porte. On l’appelle la 
passerelle. Elle oriente le paquet vers le prochain carrefour. A ce carrefour, il y a un appareil qui oriente le paquet vers le 
prochain carrefour. A ce nouveau carrefour, il y a un nouvel appareil qui oriente le paquet vers le prochain carrefour. Et ainsi 
de suite jusqu’a arriver a la passerelle du reseau de destination qui remet le paquet dans le reseau. 

L'appareil dont nous parlons s'appelle un routeur (la passerelle est egalement un routeur). Le routage consiste a faire circuler 
de routeur en routeur les paquets de donnees. L' administration d’un routeur consiste a configurer les routes d’un routeur. Une 
route est definie par un reseau de destination et l’adresse d’un routeur voisin, prochaine etape vers le reseau de destination. Une 
table de routage est une liste de routes utilisee par le routeur pour prendre des decisions quant a la direction a donner pour un 
paquet regu sur l’une de ses interfaces. Le routage statique par opposition au routage dynamique, consiste a saisir manuellement 
les routes dans le routeur. 


65.1 .1 .2. Prise de decision 

Lorsqu’ un routeur recoit un paquet sur 1'une de ses interfaces. Il extrait l’adresse IP de destination. En appliquant le masque 
reseau, il determine le prefixe reseau de cette adresse. Il recherche ce prefixe dans sa table de routage. Si le prefixe est trouve, 
il emet le paquet sur (interface reseau adapte. Si le prefixe n’est pas trouve, deux cas peuvent se presenter. S’il connait un 
routeur par defaut, il lui transmet le paquet, sinon il le detruit (sans en informer l'emetteur). 


65.1.2. Architecture de Zebra 

Zebra fonctionne sous Linux et BSD. C’est un routeur multi-protocole compose d’une suite de demons, un par protocole de 
routage dynamique plus un demon central (zebra) utilise pour le routage statique. De plus, lorsque le routage dynamique est 
mis en oeuvre, il est charge de synthetiser dans une table de routage unique, les informations rapportees par les autres demons. 


Figure 65-1. Architecture de Zebra 


65.1.3. Topologie de travail 


Figure 65-2. Topologie 1 


65.1.4. Mise en place 

Nous avons besoin de trois routeurs disposant chacun de trois interfaces reseau. Sur une interface, un reseau local sera 
connecte. Les liens represents par des eclairs correspondent a un reseau etendu. Ils sont simules avec un cable croise Ethernet. 
Les routeurs sont directement relies de carte reseau a carte reseau par le cable croise. 

Vous devez installer trois ordinateurs avec trois cartes reseau dans chacun. Ensuite, installez le systeme d’exploitation puis 
Zebra. Pour les distributions RedHat et Mandrake, il est possible de telecharger les binaires sur http:Wrpmfind.net. Sinon, les 
sources sont accessibles sur www.zebra.org. 

Les cartes reseau doivent etre actives, mais ne configurez pas les adresses des cartes reseau, vous pourrez le faire directement a 
partir de Zebra. Si vous faites un ifconftg vous devez obtenir : 

[root@linux root]# ifconfig 

ethO Lien encap : Ethernet HWaddr 00 : 50 : 56 : 40 : CO : 63 

UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric :1 
RX packets :0 errors :0 dropped :0 overruns : 0 frame :0 
TX packets :0 errors :0 dropped: 0 overruns : 0 carrier :0 
collisions :0 lg file transmission : 100 
RX bytes:0 (0.0 b) TX bytes:38159 (0.0 b) 

Interruption^ Adresse de base: 0x1060 

ethl Lien encap : Ethernet HWaddr 00 : 50 : 56 : 40 : CO : 64 

UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric :1 
RX packets :0 errors :0 dropped :0 overruns : 0 frame :0 
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eth2 


lo 


TX packets :0 errors :0 dropped :0 overruns : 0 carrier :0 
collisions:0 lg file transmission : 100 
RX bytes :0 (0.0 b) TX bytes :0 (0.0 b) 

Interruption : 11 Adresse de base: 0x1080 


Lien encap : Ethernet HWaddr 00 : 50 : 56 : 40 : CO : 65 
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric :1 
RX packets :0 errors :0 dropped :0 overruns : 0 frame :0 
TX packets :0 errors :0 dropped: 0 overruns : 0 carrier :0 
collisions :0 lg file transmission : 100 
RX bytes :0 (0.0 b) TX bytes :0 (0.0 b) 

Interruption : 10 Adresse de base:0xl0a0 


Lien encap :Boucle locale 

inet adr : 127 . 0 . 0 . 1 Masque : 255 . 0 . 0 . 0 

UP LOOPBACK RUNNING MTU: 16436 Metric :1 

RX packets :0 errors :0 dropped :0 overruns : 0 frame :0 

TX packets :0 errors :0 dropped :0 overruns : 0 carrier :0 

collisions :0 lg file transmission : 0 

RX bytes :0 (0.0 b) TX bytes :0 (0.0 b) 


Les trois cartes Ethernet activees mais sans adresse reseau. 


65.1.5. Demarrage du demon zebra 

Zebra ne peut pas demarrer sans un fichier de configuration minimal qu'il faudra saisir sur chaque routeur. Editez un fichier 
/etc/zebra/zebra.conf : 

Linux# vi /etc/zebra/zebra.conf 
hostname Zebra 
password foo 

Ensuite, chargez le demon zebra : 

Linux# zebra -d 

Vous obtiendrez peut-etre l’avertissement suivant : 

2003/02/19 01:08:17 ZEBRA: 

can't create router advertisement socket: 

Address family not supported by protocol 

Zebra supporte IPv6, mais ce protocole n'est pas active sur votre noyau. Ce n'est pas genant pour la suite de l'activite. 


65.1.6. Connexion au demon zebra 

Zebra dispose d'une interface telnet pour chaque demon. Pour configurer le demon zebra, il faut se connecter sur le port 2601. 
Par exemple, sur Routeur3 : 

[root@linux root]# telnet localhost 2601 
Trying 127 .0.0.1... 

Connected to localhost. 

Escape character is ' A ] ' . 

Hello, this is zebra (version 0.91a) . 

Copyright 1996-2001 Kunihiro Ishiguro. 


User Access Verification 

Password : 

Zebra> 

A l'invite Password:, saisissez le mot de passe que vous avez indique dans le fichier /etc/zebra/zebra.conf (aucun caractere 
n'apparait lors de la saisie, c'est " normal "). L'invite devient Zebra> (Zebra est le nom par defaut que vous changerez plus 
tard). 


65.1.7. Prise en main de Zebra (principe) 

Voyons les principaux elements de l'environnement de Zebra. 


65.1.7.1. L'invite 

L'invite (prompt) a une importance capitale. A la suite du nom de l'appareil, on peut savoir dans quel " meandre " de 
l'arborescence des menus de configuration on se trouve. 

Une invite terminee par un > indique que vous etes dans le mode VIEW : c'est le mode active lorsque Ton se connecte. 
Comme son nom l’indique, il s'agit d’un mode de visualisation de l’etat du routeur. Par exemple : 


Zebra> 


65.1 .5. Demarrage du demon zebra 
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Une invite terminee par un # indique que vous etes dans le mode ENABLE : c'est le mode privilegie qui permet de modifier 
la configuration du routeur. On y accede a partir du mode VIEW en tapant la commande enable. Par exemple : 

Zebra> enable 
Zebra# 

Ensuite, vous travaillerez essentiellement avec deux sous-modes : 

- le mode "terminal de configuration". On y accede a partir du mode ENABLE en tapant la commande configure terminal. 
Dans ce mode, on peut (entre autre) saisir des routes statiques. Par exemple : 

Zebra# configure terminal 
Zebra (conf ig) # 


- le mode "interface". On y accede a partir du mode "terminal de configuration" en tapant la commande interface suivi du 
nom de l’interface reseau. Dans ce mode, on peut (entre autre) saisir l’adresse IP et le masque de l’interface. Par exemple : 

Zebra (conf ig) # interface ethO 
Zebra (config-if ) # 


65.1.7.2. L'aide en ligne 

Retenez les elements suivants, ils vous seront d'un grand secours : 

1 . - comme dans l'interpreteur de commandes Linux, le logiciel complete toutes les commandes lorsque vous appuyez 
sur la touche TAB (par exemple : shTAB devient show); 

2. - un simple appui sur ? indique toutes les commandes disponibles dans le mode dans lequel vous etes; 

3. - enfin, la commande list donne la liste de toutes les commandes disponibles disponibles dans le mode dans lequel 
vous etes et de leurs parametres. 


65.1.8. Prise en main de Zebra (mise en pratique) 

Si vous n'etes pas dans le mode view, tapez end puis disable : 

Zebra (conf ig-if) # end 
Zebra# disable 
Zebra> 


65.1.8.1. Utilisation de l'aide en ligne 

- listez l'ensemble des commandes disponibles a ce stade (tapez simplement un point d'interrogation) : 


Zebra> ? 
enable 
exit 
help 
list 
quit 
show 

terminal 

who 


Turn on privileged mode command 
Exit current mode and down to previous mode 
Description of the interactive help system 
Print command list 

Exit current mode and down to previous mode 
Show running system information 
Set terminal line parameters 
Display who is on vty 


- listez toutes les commandes disponibles a ce stade avec tous leurs parametres : 


Zebra> list 
enable 
exit 
help 
list 
quit 

show debugging zebra 
show history 
show interface [IFNAME] 
show ip forwarding 
show ip route 

show ip route (bgp | connected | kernel | ospf | rip | static) 
show ip route A.B.C.D 
show ip route A.B.C.D/M 


- listez tous les parametres de la commande qui permet d'afficher la configuration (show ?) : 

Zebra> show ? 

debugging Zebra configuration 

history Display the session command history 
interface Interface status and configuration 
ip IP information 

ipv6 IPv6 information 

memory Memory statistics 

table default routing table to use for all clients 
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version Displays zebra version 


65.1.8.2. Affichage de I'etat du routeur 

- Listez les interfaces disponibles sur votre routeur avec la commande show interface (n'oubliez pas qu'un simple shTAB 
intTAB suffit !) : 


Zebra> sh int 
Interface lo 

index 1 metric 1 mtu 16436 >UP , LOOPBACK, RUNNING> 
inet 127.0.0.1/8 

input packets 152, bytes 9574, dropped 0, multicast packets 0 

input errors 0, length 0, overrun 0, CRC 0, frame 0, fifo 0, missed 0 

output packets 152, bytes 9574, dropped 0 

output errors 0, aborted 0, carrier 0, fifo 0, heartbeat 0, window 0 
collisions 0 
Interface ethO 

index 2 metric 1 mtu 1500 >UP, BROADCAST, RUNNING, MULTICAST> 

HWaddr : 00 : 50 : 56 : 40 : cO : 63 

input packets 0, bytes 0, dropped 0, multicast packets 0 

input errors 0, length 0, overrun 0, CRC 0, frame 0, fifo 0, missed 0 

output packets 0, bytes 0, dropped 0 

output errors 0, aborted 0, carrier 0, fifo 0, heartbeat 0, window 0 
collisions 0 
Interface ethl 

index 3 metric 1 mtu 1500 >UP, BROADCAST, RUNNING, MULTICAST> 

HWaddr: 00:50:56:40:c0:64 

input packets 0, bytes 0, dropped 0, multicast packets 0 

input errors 0, length 0, overrun 0, CRC 0, frame 0, fifo 0, missed 0 

output packets 0, bytes 0, dropped 0 

output errors 0, aborted 0, carrier 0, fifo 0, heartbeat 0, window 0 
collisions 0 
Interface eth2 

index 4 metric 1 mtu 1500 >UP, BROADCAST, RUNNING, MULTICAST> 

HWaddr: 00 : 50 : 56 : 40 : cO : 65 

input packets 0, bytes 0, dropped 0, multicast packets 0 

input errors 0, length 0, overrun 0, CRC 0, frame 0, fifo 0, missed 0 

output packets 0, bytes 0, dropped 0 

output errors 0, aborted 0, carrier 0, fifo 0, heartbeat 0, window 0 
collisions 0 

Vous avez quatre interfaces (lo et trois Ethernet), aucune ne possede pour 1'instant d'adresse IP. 

- Visionnez le content! de votre table de routage : shTAB ip roTAB : 

Zebra> sh ip ro 

Codes: K - kernel route, C - connected, S - static, R - RIP, 0 - OSPF, 

B - BGP, > - selected route, * - FIB route 

C>* 127.0.0.0/8 is directly connected, lo 

Elle est vide ! sauf 127.0.0.0/8 qui correspond a l'adresse de bouclage logiciel. Cette table etant vide, le routeur n'a aucune 
idee de la facou d'acheminer les paquets de donnees vers tel ou tel reseau. 

Le but de ce TP est de configurer correctement les interfaces et les tables de routage pour que l'ensemble des appareils des 
stations puissent s'atteindre au travers des trois routeurs. 


65.1.8.3. Configuration generate du routeur 

- Toute configuration necessite de passer en mode privilegie : 

Zebra> enable 
Zebra# 


Le # indique que vous etes en mode privilegie. 
- Listez les commandes disponibles : 


Zebra# ? 
configure 
copy 
debug 
disable 
end 
exit 
help 
list 
no 

quit 

show 

terminal 

who 

write 


Configuration from vty interface 
Copy configuration 

Debugging functions (see also 'undebug') 

Turn off privileged mode command 

End current mode and change to enable mode. 

Exit current mode and down to previous mode 
Description of the interactive help system 
Print command list 

Negate a command or set its defaults 

Exit current mode and down to previous mode 

Show running system information 

Set terminal line parameters 

Display who is on vty 

Write running configuration to memory, network, or terminal 


65.1 .8. Prise en main de Zebra (mise en pratique) 
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Les commandes importantes a ce stade sont : copy pour enregistrer la configuration et configure pour acceder au terminal de 
configuration des interfaces reseau et des routes. 

65.1.8.4. Affichage de la configuration actuelle 

La commande write term permet de consulter a tout moment la configuration actuelle du routeur : 

Zebra# write term 
Current configuration: 

i 

hostname Zebra 
password foo 

j 

interface lo 

i 

interface ethO 

i 

interface ethl 

i 

interface eth2 

i 

line vty 

i 

end 


65.1.8.5. Passage au mode "terminal de configuration" 

Zebra# conf term 
Zebra (conf ig) # 


Definition du nom du routeur. Cela se fait par la commande hostname. Attribuez a chaque routeur un nom significatif. Par 
exemple, pour le routeur 3 : 


Zebra (conf ig) # hostname Routeur3 (Zebra) 

Routeur3 (Zebra) (config)# 

Securisation du routeur. L'acces au routeur et a son mode de configuration doit 
etre protege. 

1 . - Activez le chiffrement des mots de passe : Lorsque nous avons utilise la commande write term, nous avons pu 
constater que le mot de passe n'etait pas chiffre. Resolvons ce probleme : 

Routeur3 (Zebra) (config)# service password-encryption 

2. - Attribuez un mot de passe pom faeces au mode VIEW du routeur (en remplacement de "foo"). II doit commencer 
par une lettre ou un chiffre : 

Routeur3 (Zebra) (config)# password ****** 

3. - Attribuez un mot de passe pom faeces au mode ENABLE du routeur. II doit commencer par une lettre ou un 
chiffre : 

Routeur3 (Zebra) (config)# enable password ****** 


65.1.8.6. Consultez la configuration 


Routeur3 (Zebra) (config) # w t 
Current configuration: 

i 

hostname Routeur3 (Zebra) 
password 8 kZu jW/HW0wF4o 
enable password 8 lb5pHVyK jR. 5w 
service password-encryption 

i 

interface lo 

i 

interface ethO 

i 

interface ethl 

i 

interface eth2 

i 

line vty 

i 

end 

Les mots de passe sont chiffres maintenant. 
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65.1.8.7. Enregistrement de la configuration 

II faut revenir au mode enable. N'oubliez pas de sauvegarder regulierement ! 

Routeur3 (Zebra) (config) # end 

Routeur3 (Zebra) # copy running-conf ig startup-conf ig 
Configuration saved to /etc/zebra/zebra . conf 

Configuration des interfaces reseau 

II faut attribuer une adresse IP et un masque a chaque carte reseau. Pour cela, il faut se placer dans le mode "configuration 
d’interface" puis utiliser une commande ip address. Enfin, il faut activer l’interface avec une commande no shutdown. Par 
exemple, pour 1’interface ethO du routeur 3 : 

Routeur3 (Zebra) # conf t 
Routeur3 (Zebra) (config)# int ethO 

Routeur3 (Zebra) (config-if)# ip addr 192.168.3.254/8 
Routeur3 (Zebra) (config-if)# no shut 

- Faites la meme manipulation, en adaptant, pour les autres interfaces de ce routeur. 

Consultez la configuration : 

Routeur3 (Zebra) (config)# wr t 
Current configuration: 

i 

hostname Routeur3 (Zebra) 
password 8 kZu jW/HW0wF4o 
enable password 8 lb5pHVyKjR. 5w 
service password-encryption 

i 

interface lo 

i 

interface ethO 
ip address 192.168.3.254/24 

i 

interface ethl 
ip address 12.0.0.2/8 

i 

interface eth2 

j 

line vty 

i 

end 


L’interface eth2 n’a pas d’adresse pour l’instant. 
Faites ces configurations sur les trois routeurs. 


65.1.8.8. Configuration des routes 


Allez dans le shell Finux du routeur3 et listez sa table de routage : 


[root@linux root]# route 


Table de routage IP du noyau 
Destination GW Genmask 


192.168.3.0 
12 . 0 . 0.0 
127 .0.0.0 


255 . 255 . 255 . 0 

255.0.0.0 

255.0.0.0 


Indie Metric Ref 
U 0 0 

U 0 0 

U 0 0 


Use Iface 
0 ethO 
0 ethl 
0 lo 


Cet appareil connait les adresses des reseaux directement connecte. Ainsi, Routeur3 peut communiquer avec l’interface de 
Routeur2 situe dans le meme reseau : 


[root@linux root]# ping 12.0.0.1 -c 2 

PING 12.0.0.1 (12.0.0.1) from 12.0.0.2 : 56(84) bytes of data. 

Warning: time of day goes back, taking countermeasures. 

64 bytes from 12.0.0.1: icmp_seq=0 ttl=255 time=4.352 msec 
64 bytes from 12.0.0.1: icmp_seq=l ttl=255 time=1.819 msec 

12.0.0.1 ping statistics 

2 packets transmitted, 2 packets received, 0% packet loss 
round-trip min/avg/max/mdev = 1.819/3.085/4.352/1.267 ms 

Tous les appareils peuvent pinger leurs voisins immediats, mais pas au-dela. Par exemple, Routeur3 ne peut pas atteindre 
Routeur 1 : 


[root@linux root]# ping 11.0.0.1 
connect: Network is unreachable 
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Normal, puisque le reseau 1 1.0. 0.0 ne figure pas dans sa table de routage. Le routage statique va consister a integrer 
manuellement les routes dans la table de routage du routeur. Ouvrez un session telnet avec zebra puis allez dans le mode 
"configuration de terminal". 

La saisie des routes se fait avec la commande ip route. Son format general est : 

ip route <adresse_reseau_destination> <adresse_ip_prochain_routeur> 

Par exemple, sur Routeur3 pour atteindre Routeurl, il faudra indiquer 1 1.0. 0.0/8 en reseau de destination et l'adresse IP de 
l'interface de Routeur2 qui est situee du cote de Routeur3 : 

Routeur3 (Zebra) (config) # ip route 11.0.0.0/8 12.0.0.1 

Tentons a nouveau un ping dans le shell Linux : 

Routeur3 (Zebra) (config)# end 

Routeur3 (Zebra) # quit 

Connection closed by foreign host. 

[root@linux root]# ping 11.0.0.1 

PING 11.0.0.1 (11.0.0.1) from 12.0.0.2 : 56(84) bytes of data. 

CTRL-C 

11.0.0.1 ping statistics 

13 packets transmitted, 0 packets received, 100% packet loss 

II faut interrompre la commande car elle restait bloquee. Cela ne marche done pas. Pourquoi ? 

Pour comprendre, nous allons utiliser la commande Linux tepdump qui affiche tous les paquets passant par une interface. Sur 
Routeur3 : 


[root@linux root]# tepdump -i ethl 
tepdump: listening on ethl 

03:44:45.507835 12.0.0.2 > 11.0.0.1: iemp: echo request (DF) 

03:44:46.507835 12.0.0.2 > 11.0.0.1: iemp: echo request (DF) 

03:44:47.507835 12.0.0.2 > 11.0.0.1: iemp: echo request (DF) 

Le routeur emet des paquets mais on constate qu'il n’y a pas de retour. Le probleme peut venir de Routeur2 ou de Routeurl. 

Suivons la chaine et connectons-nous dans le shell de Routeur2. Utilisons tepdump sur l’interface du cote de Routeur3 : 


[root@linux root]# tepdump -i eth2 
tepdump: listening on eth2 

03:52:20.017855 12.0.0.2 > 11.0.0.1: iemp: echo request (DF) 
03:52:21.017855 12.0.0.2 > 11.0.0.1: iemp: echo request (DF) 
03:52:22.027855 12.0.0.2 > 11.0.0.1: iemp: echo request (DF) 


Les paquets sont bien re£us. Faisons la meme manipulation, toujours sur Routeur2 mais sur l'interface du cote de Routeurl : 

[root@linux root]# tepdump -i ethl 
tepdump: listening on ethl 

03:52:46.027855 12.0.0.2 > 11.0.0.1: iemp: echo request (DF) 

03:52:47.017855 12.0.0.2 > 11.0.0.1: iemp: echo request (DF) 

03:52:48.017855 12.0.0.2 > 11.0.0.1: iemp: echo request (DF) 


Les paquets sont bien transmis d'une interface a l'autre. Routeur2 fait son travail. Passons sur Routeurl, faisons un tepdump 
sur l'interface cote Routeur 2 : 


[root@linux root]# tepdump -i eth2 
tepdump: listening on eth2 

03:53:53.224868 12.0.0.2 > 11.0.0.1: iemp: echo request (DF) 

03:53:54.224868 12.0.0.2 > 11.0.0.1: iemp: echo request (DF) 

03:53:55.234868 12.0.0.2 > 11.0.0.1: iemp: echo request (DF) 

Les paquets sont bien recus sur Routeurl. Mais il n'est pas capable d'y repondre. D'ou vient le probleme alors ? II n'y a qu'une 
solution. Il vient de la table de routage. Routeurl ne sait pas comment repondre a Routeur3 car il n'a aucune idee de l'endroit 
ou il se trouve puisqu'il n'est pas directement relie a lui. Connectons-nous au demon zebra sur Routeurl puis visionnons sa 
table de routage : 


Routeurl (Zebra) > sh ip ro 

Codes: K - kernel route, C - connected, S - static, R - RIP, 0 - OSPF, 

B - BGP, > - selected route, * - FIB route 

C>* 11.0.0.0/8 is directly connected, eth2 
C>* 127.0.0.0/8 is directly connected, lo 
C>* 192.168.1.0/24 is directly connected, ethO 

Elle ne contient aucune entree pour 12.0.0.0/8, le reseau auquel est connecte Routeur3. Reparons cette erreur en informant 
Routeurl sur la fa£on d'atteindre 12.0.0.0/8. Il faut passer par son voisin Routeur2 dont l'adresse est 11.0.0.2. Sur le routeur (en 
mode "terminal de configuration"), il faut saisir : 
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Routeurl (Zebra) (config) # ip route 12.0.0.0/8 11.0.0.2 

Affichons a nouveau la table de routage : 

Routeurl (Zebra) (config) # end 
Routeurl (Zebra) # sh ip ro 

Codes: K - kernel route, C - connected, S - static, R - RIP, 0 - OSPF, 

B - BGP, > - selected route, * - FIB route 

C>* 11.0.0.0/8 is directly connected, eth2 
S>* 12.0.0.0/8 [1/0] via 11.0.0.2, eth2 
C>* 127.0.0.0/8 is directly connected, lo 
C>* 192.168.1.0/24 is directly connected, ethO 

La route apparait. Elle est notee S pour Statique. 

Revenons dans le shell Linux de Routeurl. La commande tcpdump nous montre que maintenant, Routeur sait repondre a 
Routeur3 : 


[root@linux root]# tcpdump -i eth2 
tcpdump: listening on eth2 

03:59:51.904868 12.0.0.2 >> 11.0.0.1: icmp: echo request (DF) 
03:59:51.904868 11.0.0.1 > 12.0.0.2: icmp: echo reply 

03:59:52.864868 12.0.0.2 > 11.0.0.1: icmp: echo request (DF) 

03:59:52.864868 11.0.0.1 > 12.0.0.2: icmp: echo reply 

Si Ton revient sur Routeur3, le ping fonctionne desormais sans probleme : 

[root@linux root]# ping 11.0.0.1 -c 2 

PING 11.0.0.1 (11.0.0.1) from 12.0.0.2 : 56(84) bytes of data. 
Warning: time of day goes back, taking countermeasures. 

64 bytes from 11.0.0.1: icmp_seq=0 ttl=254 time=8.090 msec 
64 bytes from 11.0.0.1: icmp_seq=l ttl=254 time=3.986 msec 

11.0.0.1 ping statistics 

2 packets transmitted, 2 packets received, 0% packet loss 
round-trip min/avg/max/mdev = 3.986/6.038/8.090/2.052 ms 


65.1.8.9. Resume 

1 . Le routage est une chaine : les paquets sont transmis au routeur voisin, qui transmet au routeur voisin, etc. 
j. II faut penser a configurer tous les routeurs pour Taller ET le retour des paquets. 


65.1.8.10. Configuration des routeurs 

Maintenant que vous savez tout, saisissez sur chaque routeur Tensemble minimal des routes qu'il a besoin de connaTtre. Le 
cahier des charges est le suivant : les stations de chaque reseau ont besoin de communiquer avec les stations de tous les autres 
reseaux. Les stations n’ont pas besoin de communiquer avec les routeurs. 

D’abord, commencez par detruire les routes statiques que nous venons de saisir pour les besoins de la demonstration. Par 
exemple, sur Routeur3 pour detruire la route 1 1.0. 0.0/8 : 

Routeur3 (Zebra) > en 
Password : 

Routeur3 (Zebra) # conf t 

Routeur3 (Zebra) (config)# no ip route 11.0.0.0/8 12.0.0.1 
Routeur3 (Zebra) (config)# 

Dernier point : n’oubliez pas de configurer la passerelle par defaut sur les stations, sans quoi elles ne sauraient pas comment 
faire sortir leurs paquets de LAN. La passerelle par defaut de chaque LAN est le routeur le plus proche. Par exemple sur une 
station du premier reseau local (192.168.1.0/24), en supposant que celle-ci est sous Windows : 


Figure 65-3. Topologie 1 


65.1.8.11. Solution 

Ci-dessous, vous trouverez la configuration complete des trois routeurs. Vos routes statiques doivent etre strictement 
identiques a celles indiquees. Ci ce n’est pas le cas, vous n’avez pas completement compris le principe du routage, relisez la 
partie introductive de ce document. 

Pour Routeurl : 

Routeurl (Zebra) # sh run 


65.1 .8. Prise en main de Zebra (mise en pratique) 


253 






Tutoriel sur les serveurs 


Current configuration: 

I 

hostname Routeurl (Zebra) 
password 8 . A2UkN/mYwExA 
enable password 8 J7XQRuHNCKhOA 
service password-encryption 

i 

interface lo 

i 

interface ethO 
ip address 192.168.1.254/24 

i 

interface ethl 

i 

interface eth2 
ip address 11.0.0.1/8 

I 

ip route 192.168.2.0/24 11.0.0.2 
ip route 192.168.3.0/24 11.0.0.2 

I 

line vty 

i 

end 

Pour Routeur2 : 

Routeur2 (Zebra) # sh run 
Current configuration: 

i 

hostname Routeur2 (Zebra) 
password 8 wcw4qNEUlQPy . 
enable password 8 f qdY3GaicS4XQ 
service password-encryption 

i 

interface lo 

I 

interface ethO 
ip address 192.168.2.254/24 

I 

interface ethl 
ip address 11.0.0.2/8 

I 

interface eth2 
ip address 12.0.0.1/8 

i 

ip route 192.168.1.0/24 11.0.0.1 
ip route 192.168.3.0/24 12.0.0.2 

j 

line vty 

i 

end 

Pour Routeur3 : 

Routeur3 (Zebra) # sh ru 
Current configuration: 

i 

hostname Routeur3 (Zebra) 
password 8 kZu jW/HWOwF4o 
enable password 8 lb5pHVyK jR. 5w 
service password-encryption 

i 

interface lo 

I 

interface ethO 
ip address 192.168.3.254/24 

I 

interface ethl 
ip address 12.0.0.2/8 

I 

interface eth2 

i 

ip route 192.168.1.0/24 12.0.0.1 
ip route 192.168.2.0/24 12.0.0.1 

i 

line vty 

i 

end 


65.1.9. Problemes rencontres 

Q - Je ne sais pas retirer les adresses IP deja configurees sous Linux 
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R - Editez le contenu des fichiers /etc/sysconfig/network-scripts/ifcfg-ethx (avec x = numero de la carte) et supprimez les 
lignes contenant l'adresse et le masque. Ensuite, redemarrez. 

Q - Je n'arrive pas ouvrir de session Telnet. 

R - Soit vous n'indiquez pas le numero de port (2601) apres l'adresse IP, soit le demon zebra n'est pas lance. Faites un ps -ax 
pour verifier. S'il n'apparait pas, faites un zebra -d 

Q - J'ai oublie un mot de passe. 

R - Bravo. Editez le fichier /etc/zebra/zebra.conf et retirez les lignes password et service password-encryption 
Q - J'ai saisi une mauvaise commande et je ne sais pas la supprimer : 

R - Vous devez faire exactement comme si vous vouliez saisir a nouveau cette commande mais vous faites preceder le tout 
de no. Exemple : J'ai saisi une mauvaise adresse (99.0.0.9/8) sur 1'interface ethO de mon routeur : 

Routeurl (Zebra) > enable 
Password : 

Routeurl (Zebra) # conf t 
Routeurl (Zebra) (config)# int ethO 

Routeurl (Zebra) (config-if)# no ip address 99.0.0.9/8 
Routeur3 (Zebra) (config-if)# 


Chapitre 66. Multi-router looking glass 


Utilisation de 1'interface d'acces php aux services de zebra avec MRLG. 


66.1. Presentation 

MRLG etait ecrit en Perl. II est desormais siponible en php. (http://pilot.org.ua/mrlg/). C'est une interface d'acces qui permet 
d'afficher les routes et interfaces des roueturs reconnus par zebra. 


Figure 66-1. MRLG - Multi-Router Looking Glass 


Chapitre 67. Annexe sur le langage de commande de Zebra 


Utilisation du mode commande de Zebra. 


67.1. Annexe sur le langage de commande de Zebra 

Zebra est configure (/etc/zebra/zebra.conf) 

[mlx@mr] $ telnet localhost 2601 
Trying 127 .0.0.1... 

Connected to localhost. 

Escape character is ' A ] 1 . 

Hello, this is zebra (version 0.94) . 

Copyright 1996-2002 Kunihiro Ishiguro. 


User Access Verification 


Password: // Entrer le mot de passe 

mr> enable // On passe en mode privilegie 

mr# disable // On revient en mode normal 

mr> exit / / Quitter 

Connection closed by foreign host. 


# Obtenir 
mr>? 
enable 
exit 
help 
list 
quit 
show 

terminal 

who 


les commandes de bases 

Turn on privileged mode command 
Exit current mode and down to previous mode 
Description of the interactive help system 
Print command list 

Exit current mode and down to previous mode 
Show running system information 
Set terminal line parameters 
Display who is on vty 


# Obtenir les commandes en mode privilegie 
mr> enable 
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mr# ? 

configure 

copy 

debug 

disable 

end 

exit 

help 

list 

no 

quit 

show 

terminal 

who 

write 


Configuration from vty interface 
Copy configuration 

Debugging functions (see also 'undebug') 

Turn off privileged mode command 

End current mode and change to enable mode. 

Exit current mode and down to previous mode 
Description of the interactive help system 
Print command list 

Negate a command or set its defaults 

Exit current mode and down to previous mode 

Show running system information 

Set terminal line parameters 

Display who is on vty 

Write running configuration to memory, network, or terminal 


# list donne la liste de toutes les commandes 
mr# list 

configure terminal 

copy running-conf ig startup-conf ig 

debug zebra events 

debug zebra kernel 

debug zebra packet 

debug zebra packet (recv|send) 

debug zebra packet (recv|send) detail 

disable 

end 

exit 

help 

list 

no debug zebra events 
no debug zebra kernel 
no debug zebra packet 
quit 

— More — 


# Une commande suivi de "?" indique la liste 

# des parametres attendus 
mr# configure ? 

terminal Configuration terminal 
mr# configure 


Les commandes "show running-config" et "show startup-config" permettent respectivement d'avoir la configuration active du 
routeur et les commandes de configuration de demarrage lors du demarrage du routeur. 

"show interface" donne les indications sur les interfaces. 

"show ip route" donne les information sur la table de routage. 

"show history" donne la listes des commandes saisies. 

"configure terminal" permt de passer en mode configuration. 


Chapitre 68. Concepts generaux sur le routage 


Elements retrospectifs de la sequence sur le routage statique et dynamique. 


68.1. Presentation 

La notion d'adressage ip (reseaux, sous-reseaux, sur-reseaux, hotes, du role et des fonctions de la couche reseau, des 
protocoles ip, arp, icmp, ont deja ete largement abordees dans d'autres sequences. Elies ne seront pas revues dans ce document. 

La notion de routage statique a egalement egalement vu dans d'autres sequences. Les principes ne seront pas repris. On 
retiendra juste qu'avec cette technique, les protocoles de routage n'ont pas le choix de leurs routes. Cette technique convient 
bien aux petits reseaux ne subissant pas de devolutions ou de changements frequents. II ne s'agit pas vraiment d'un protocole 
de routage au sens ou cela peut etre pris pour le routage dynamique. 

Les protocoles de routage dynamiques repondent a d'autres besoins. Des que les topologies deviennent complexes. Ce 
document va presenter un peu du jargon de ce domaine. 


68.2. Jargon reseau sur le routage 

Cette partie decrit les termes et elements utilises sur les reseaux mettant en oeuvre des protocoles de routages dynamiques. 
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68.2.1. Notion de systeme autonome (SA) 

Un Systeme Autonome (AS) est un ensemble coherent de reseaux et de routeurs sous la responsabilite d'une autorite 
administrative. Les AS ont des architectures de routages independantes les lines des autres. 

Un AS ont des numeros codes sur 16 bits. Ces numeros attribues par le Network Information Center sont uniques. 


Figure 68-1. Systeme Autonomes 


Le schemas represente 2 AS. Les AS sont relies par des routeurs que Ton nomme "exteriors gateway". 

Les IG n'echangent que des informations entre elles. Certaines IG doivent cependant echanger avec des "exteriors gateway" 
pour prendre connaissance des reseaux etrangers. 

Dans les protocoles de routages ds IGP's, on trouve principalement : 

1. RIP - Protocole de routage a vecteur de distance. 

2. IGRP - Protocole de routage a vecteur de distance de Cisco. 

3. OSPF - Protocole de routage a etat de liens. (Open Shortest Path First) 

4. EIGRP - Protocole de routage hybride symetrique. 

EGP (Exterior Gateway Protocol), BGP (Border Gateway Protocol) sont des protocoles de routage inter AS. 


68.2.2. Choix d'une route et metrique 

Pour determiner une route a utiloiser, un routeur va se baser sur "metrique". Cette valeur est determiner par un ou plusieurs 
criteres. 

Le protocole RIP ne prend en compte que le nombre de sauts (hop) pour determiner la chemin le plus court, (sa metrique). 

D'autres protocoles peuvent prendre en compte d'autres parametres comme la charge, le nombre de sauts, la bande passante, le 
delai, la charge... 


68.3. Les protocoles de routages IGP's 

On considere deux grandes families de protocoles utilisant des algorithmes. 


68.3.1. Les algorithmes Vector-Distance 

Les protocoles comme RIP qui utilisent cete algorithme, utilisent le nombre de sauts (hop) comme metrique pour selectionner 
un chemin. 

Le routage a vecteur de distance determine la direction (le vecteur) et la distance par rapport a une liaison du reseau. 

Un routeur diffuse regulierement (toutes les 30 secondes ) a ses voisins les routes qu'il connait. Une route est composee d'une 
adresse destination, d'une adresse de passerelle et d'une metrique indiquant le nombre de sauts necessaires pom atteindre la 
destination. Une passerelle qui recoit ces informations compare les routes regues avec ses propres routes connues et met a jour 
sa propre table de routage. 

Le probleme vient souvent du fait la taille des tables de routage est proportionnelle au nombre de routeurs du domaine et que 
cela genere tres vite une charge importante sur le reseau. 


68.3.2. Algorithme Link State (Etat de Liens) 

L'algorithme Link State, est base sur la technique "Shortest Path First" (SPF). Les routeurs maintiennent une carte complete 
du reseau et calculent les meilleurs chemins localement en utilisant cette topologie. Ils ne communiquent pas, comme dans 
l'algorithme "Vector Distance" la liste de toutes les destinations connues. Les routeurs valident l'etat des liens qui les relient et 
communiquent cet etat aux routeurs voisins. 

Cette technique recree un etat du reseau. Elle utilise en premier le plus court chemin d'abord mais peut utiliser d'autres 
parametres. Les routeurs mettent a jour leur carte et recalculent localement pour chaque lien modifie, la nouvelle route selon 
l'algorithme de Dijkstra shortest path algorithm qui determine le plus court chemin pour toutes les destinations a partir d'une 
meme source. Elle est utilisee par le protocole OSPF par exemple. 


68.3.3. Les techniques hybrides 

Ce sont des protocoles qui utilisent les deux techniques de routages, comme le protocole EIGRP de Cisco. 


68.2.1 . Notion de systeme autonome (SA) 
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68.4. Les protocoles de routages exterieurs EGP 

Ces protocoles sont utilises echanger les informations entre les systemes autonomes. Ils permettent l'echange d'information 
entre paserelles d'AS differents et le test de la disponibilite des liaisons. 

Chapitre 69. Remerciements et licence 

69.1. Copyright 

Cette documentation est soumise aux termes de la Licence de Documentation Libre GNU (GNU Free Documentation License). 
Les programmes sont soumis aux termes de la Licence Generate Publique GNU (GNU General Public License). 
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